NVIDIA ha lanzado actualizaciones de seguridad que abordan dos vulnerabilidades importantes en su Container Toolkit y GPU Operator que podrían permitir a los actores maliciosos ejecutar código arbitrario con permisos elevados en los sistemas afectados.
Productos afectados
- NVIDIA Container Toolkit versiones anteriores a la 1.17.8.
- NVIDIA GPU Operator versiones anteriores a la 25.3.1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-23266: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad en algunos hooks utilizados para inicializar el contenedor, donde un actor malicioso podría ejecutar código arbitrario con permisos elevados.
CVE-2025-23267: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad en el enlace update-ldcache, donde un actor malicioso podría provocar el seguimiento de un enlace mediante una imagen de contenedor especialmente diseñada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvidia.custhelp.com/app/answers/detail/a_id/5659
- https://nvd.nist.gov/vuln/detail/CVE-2025-23266
- https://nvd.nist.gov/vuln/detail/CVE-2025-23267