NVIDIA Megatron-LM 存在双重注入风险:v0.12.1 版本修复代码执行漏洞

💡 原文中文,约900字,阅读约需2分钟。
📝

内容提要

NVIDIA 宣布其开源语言模型框架 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8,可能导致远程代码执行和数据篡改。漏洞源于 Python 组件处理不当,影响 0.12.0 之前版本,已在 0.12.1 中修复。

🎯

关键要点

  • NVIDIA 宣布 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8。

  • 漏洞源于 Python 组件对输入数据处理不当,可能导致远程代码执行、权限提升和数据篡改。

  • 成功利用这些漏洞可能导致代码执行、权限提升、信息泄露和数据篡改。

  • 漏洞影响 0.12.0 之前的所有 Megatron-LM 版本,已在 0.12.1 版本中修复。

  • 随着大型语言模型融入企业级 AI 应用,其框架和训练基础设施成为软件供应链的关键环节。

  • Megatron-LM 通常部署在高性能计算和研究环境中,对数据完整性和安全性要求极高。

🔎

延伸解读

漏洞影响的广泛性

Megatron-LM 的两个高危漏洞影响了 0.12.0 之前的所有版本,这意味着许多使用该框架的企业和研究机构可能面临安全风险。尤其是在高性能计算环境中,数据的完整性和安全性至关重要,未及时更新可能导致严重后果。

修复的重要性

NVIDIA 已在 0.12.1 版本中修复了这些漏洞,企业和开发者应尽快更新到最新版本,以防止潜在的远程代码执行和数据篡改风险。及时的安全更新是保护系统和数据安全的关键措施。

攻击途径的警示

公告指出,攻击者只需提供恶意文件即可触发漏洞,这对支持自动模型加载的环境构成了特别的威胁。企业在部署 Megatron-LM 时,应加强对输入数据的验证和监控,以降低被攻击的风险。

延伸问答

NVIDIA Megatron-LM 存在什么样的安全漏洞?

NVIDIA Megatron-LM 存在两个高危漏洞,分别为 CVE-2025-23264 和 CVE-2025-23265,CVSS 评分为 7.8。

这些漏洞可能导致哪些安全风险?

这些漏洞可能导致远程代码执行、权限提升、信息泄露和数据篡改等风险。

Megatron-LM 的哪些版本受到影响?

所有 0.12.0 之前的 Megatron-LM 版本都受到影响。

NVIDIA 如何修复这些漏洞?

NVIDIA 在 0.12.1 版本中修复了这两个漏洞,并提供了统一的修复方案。

Megatron-LM 的漏洞源于什么原因?

漏洞源于 Python 组件对输入数据处理不当,存在代码注入路径安全问题。

为什么大型语言模型的安全性对企业很重要?

大型语言模型的框架和训练基础设施是软件供应链的关键环节,对数据完整性和安全性要求极高。

🏷️

标签

➡️

继续阅读