NVIDIA Megatron-LM 存在双重注入风险:v0.12.1 版本修复代码执行漏洞
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
NVIDIA 宣布其开源语言模型框架 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8,可能导致远程代码执行和数据篡改。漏洞源于 Python 组件处理不当,影响 0.12.0 之前版本,已在 0.12.1 中修复。
🎯
关键要点
- NVIDIA 宣布 Megatron-LM 存在两个高危漏洞(CVE-2025-23264 和 CVE-2025-23265),CVSS 评分为 7.8。
- 漏洞源于 Python 组件对输入数据处理不当,可能导致远程代码执行、权限提升和数据篡改。
- 成功利用这些漏洞可能导致代码执行、权限提升、信息泄露和数据篡改。
- 漏洞影响 0.12.0 之前的所有 Megatron-LM 版本,已在 0.12.1 版本中修复。
- 随着大型语言模型融入企业级 AI 应用,其框架和训练基础设施成为软件供应链的关键环节。
- Megatron-LM 通常部署在高性能计算和研究环境中,对数据完整性和安全性要求极高。
❓
延伸问答
NVIDIA Megatron-LM 存在什么样的安全漏洞?
NVIDIA Megatron-LM 存在两个高危漏洞,分别为 CVE-2025-23264 和 CVE-2025-23265,CVSS 评分为 7.8。
这些漏洞可能导致哪些安全风险?
这些漏洞可能导致远程代码执行、权限提升、信息泄露和数据篡改等风险。
Megatron-LM 的哪些版本受到影响?
所有 0.12.0 之前的 Megatron-LM 版本都受到影响。
NVIDIA 如何修复这些漏洞?
NVIDIA 在 0.12.1 版本中修复了这两个漏洞,并提供了统一的修复方案。
Megatron-LM 的漏洞源于什么原因?
漏洞源于 Python 组件对输入数据处理不当,存在代码注入路径安全问题。
为什么大型语言模型的安全性对企业很重要?
大型语言模型的框架和训练基础设施是软件供应链的关键环节,对数据完整性和安全性要求极高。
➡️
