CRITICAL🇬🇧 English

CVE-2025-33187

NVIDIA DGX Spark – nieprawidłowe zarządzanie uprawnieniami w SROOT umożliwia dostęp do chronionych obszarów SoC

CVSS 9.3v3.1pub. 2025-11-25upd. 2025-12-02

Podatność w komponencie SROOT systemu NVIDIA DGX Spark GB10 pozwala atakującemu z uprzywilejowanym dostępem na uzyskanie dostępu do obszarów SoC objętych ochroną. Ze względu na szeroki zakres możliwych skutków – w tym RCE i privilege escalation – podatność została oceniona jako krytyczna z wynikiem CVSS 9.3.

Pokaż oryginał (EN)

NVIDIA DGX Spark GB10 contains a vulnerability in SROOT, where an attacker could use privileged access to gain access to SoC protected areas. A successful exploit of this vulnerability might lead to code execution, information disclosure, data tampering, denial of service, or escalation of privileges.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-269 (Improper Privilege Management) polega na niewystarczającej kontroli dostępu w komponencie SROOT urządzenia DGX Spark GB10. Atakujący posiadający uprzywilejowany dostęp do systemu może wykorzystać tę lukę do wyjścia poza normalnie dozwolony zakres uprawnień i uzyskania dostępu do chronionych obszarów układu SoC. Wektor lokalny (AV:L) wskazuje, że exploitacja wymaga dostępu do lokalnego systemu, jednak zakres ataku wykracza poza granicę komponentu (S:C), co zwiększa potencjalny zasięg skutków.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do wykonania dowolnego kodu (RCE), ujawnienia poufnych informacji, manipulacji danymi, odmowy usługi (DoS) lub eskalacji uprawnień w obrębie chronionej przestrzeni SoC.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegółowe informacje o poprawkach opublikowane zostały przez NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5720

Kogo dotyczy

NVIDIA DGX Spark GB10 – produkty NVIDIA DGX Spark oraz NVIDIA DGX OS; konkretne wersje wskazane w referencjach producenta (https://nvidia.custhelp.com/app/answers/detail/a_id/5720)

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Nvidia Dgx Os

    OS
    Nvidia
    wszystkie wersje
  • Nvidia Dgx Spark

    HW
    Nvidia
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2025-33189HIGH7.8ten sam produkt

NVIDIA DGX Spark GB10 contains a vulnerability in SROOT firmware, where an attacker could cause an out-of-boun...

CVE-2025-33188HIGH8.0ten sam produkt

NVIDIA DGX Spark GB10 contains a vulnerability in hardware resources where an attacker could tamper with hardw...

CVE-2025-33191MEDIUM5.7ten sam produkt

NVIDIA DGX Spark GB10 contains a vulnerability in OSROOT firmware, where an attacker could cause an invalid me...

CVE-2025-33192MEDIUM5.7ten sam produkt

NVIDIA DGX Spark GB10 contains a vulnerability in SROOT firmware, where an attacker could cause an arbitrary m...

CVE-2025-33190MEDIUM6.7ten sam produkt

NVIDIA DGX Spark GB10 contains a vulnerability in SROOT firmware where an attacker could cause an out-of-bound...