CRITICAL🇬🇧 English

CVE-2024-0095

NVIDIA Triton Inference Server — log injection umożliwiający RCE i eskalację uprawnień

CVSS 9.0v3.1pub. 2024-06-13upd. 2025-09-26

NVIDIA Triton Inference Server dla systemów Linux i Windows zawiera podatność pozwalającą atakującemu na wstrzykiwanie sfałszowanych wpisów logów oraz wykonywalnych poleceń poprzez dowolne dane. Skuteczny atak może prowadzić do wykonania kodu, eskalacji uprawnień, ujawnienia danych oraz ich modyfikacji.

Pokaż oryginał (EN)

NVIDIA Triton Inference Server for Linux and Windows contains a vulnerability where a user can inject forged logs and executable commands by injecting arbitrary data as a new log entry. A successful exploit of this vulnerability might lead to code execution, denial of service, escalation of privileges, information disclosure, and data tampering.

🤖 Analiza AI
Jak działa

Podatność (CWE-117 — Improper Output Neutralization for Logs) polega na braku odpowiedniej sanityzacji danych wpisywanych do logów serwera. Atakujący może wstrzyknąć spreparowane dane, które są interpretowane jako nowe wpisy logów lub polecenia wykonywalne. Mechanizm ten może być wykorzystany zdalnie przez sieć bez interakcji użytkownika, choć wymaga posiadania uprawnień wysokiego poziomu (PR:H). Zakres podatności wykracza poza komponent źródłowy (Scope: Changed), co zwiększa potencjalny zasięg ataku.

Skutki

Atakujący może osiągnąć wykonanie dowolnego kodu (RCE), wywołać odmowę usługi (DoS), dokonać eskalacji uprawnień, uzyskać nieuprawniony dostęp do informacji oraz dokonać manipulacji danymi w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5546

Kogo dotyczy

NVIDIA Triton Inference Server w wersjach dla systemów Linux i Windows — konkretne wersje wskazane w referencjach producenta (https://nvidia.custhelp.com/app/answers/detail/a_id/5546)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:H
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
  • Nvidia Triton Inference Server

    APP
    Nvidia
    20.10 – 24.05 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit