NVIDIA Megatron-LM 存在双重注入风险:v0.12.1 版本修复代码执行漏洞
内容提要
NVIDIA 宣布其开源语言模型框架 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8,可能导致远程代码执行和数据篡改。漏洞源于 Python 组件处理不当,影响 0.12.0 之前版本,已在 0.12.1 中修复。
关键要点
-
NVIDIA 宣布 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8。
-
漏洞源于 Python 组件对输入数据处理不当,可能导致远程代码执行、权限提升和数据篡改。
-
成功利用这些漏洞可能导致代码执行、权限提升、信息泄露和数据篡改。
-
漏洞影响 0.12.0 之前的所有 Megatron-LM 版本,已在 0.12.1 版本中修复。
-
随着大型语言模型融入企业级 AI 应用,其框架和训练基础设施成为软件供应链的关键环节。
-
Megatron-LM 通常部署在高性能计算和研究环境中,对数据完整性和安全性要求极高。
延伸解读
漏洞影响的广泛性
Megatron-LM 的两个高危漏洞影响了 0.12.0 之前的所有版本,这意味着许多使用该框架的企业和研究机构可能面临安全风险。尤其是在高性能计算环境中,数据的完整性和安全性至关重要,未及时更新可能导致严重后果。
修复的重要性
NVIDIA 已在 0.12.1 版本中修复了这些漏洞,企业和开发者应尽快更新到最新版本,以防止潜在的远程代码执行和数据篡改风险。及时的安全更新是保护系统和数据安全的关键措施。
攻击途径的警示
公告指出,攻击者只需提供恶意文件即可触发漏洞,这对支持自动模型加载的环境构成了特别的威胁。企业在部署 Megatron-LM 时,应加强对输入数据的验证和监控,以降低被攻击的风险。
延伸问答
NVIDIA Megatron-LM 存在什么样的安全漏洞?
NVIDIA Megatron-LM 存在两个高危漏洞,分别为 CVE-2025-23264 和 CVE-2025-23265,CVSS 评分为 7.8。
这些漏洞可能导致哪些安全风险?
这些漏洞可能导致远程代码执行、权限提升、信息泄露和数据篡改等风险。
Megatron-LM 的哪些版本受到影响?
所有 0.12.0 之前的 Megatron-LM 版本都受到影响。
NVIDIA 如何修复这些漏洞?
NVIDIA 在 0.12.1 版本中修复了这两个漏洞,并提供了统一的修复方案。
Megatron-LM 的漏洞源于什么原因?
漏洞源于 Python 组件对输入数据处理不当,存在代码注入路径安全问题。
为什么大型语言模型的安全性对企业很重要?
大型语言模型的框架和训练基础设施是软件供应链的关键环节,对数据完整性和安全性要求极高。