NVIDIA Isaac Launchable zawiera podatność polegającą na wykonywaniu operacji z niepotrzebnymi (nadmiernymi) uprawnieniami. Luka jest krytyczna — nieuwierzytelniony atakujący może ją wykorzystać zdalnie bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
NVIDIA Isaac Launchable contains a vulnerability where an attacker could cause an execution with unnecessary privileges. A successful exploit of this vulnerability might lead to code execution, escalation of privileges, denial of service, information disclosure and data tampering.
Podatność sklasyfikowana jako CWE-250 (Execution with Unnecessary Privileges) oznacza, że komponent oprogramowania uruchamia kod lub procesy z poziomem uprawnień wyższym niż wymagany do realizacji danej funkcji. Atakujący może to wykorzystać, aby wykonać własny kod w kontekście podwyższonych uprawnień. Wektor CVSS wskazuje na możliwość ataku przez sieć, bez konieczności posiadania konta ani jakiejkolwiek akcji po stronie ofiary.
Pomyślne wykorzystanie podatności może prowadzić do zdalnego wykonania kodu (RCE), eskalacji uprawnień, odmowy usługi (DoS), ujawnienia poufnych informacji oraz manipulacji danymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — patrz biuletyn bezpieczeństwa NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5749
NVIDIA Isaac Launchable — konkretne wersje wskazane w referencjach producenta (https://nvidia.custhelp.com/app/answers/detail/a_id/5749)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNvidia Isaac Launchable
APPNvidia1.0
Powiązane podatności
NVIDIA Isaac Launchable — podatność hard-coded credentials (RCE, DoS)
NVIDIA Isaac Launchable — wykonanie kodu z nadmiernymi uprawnieniami
NVIDIA Isaac Launchable for Linux contains a vulnerability where sensitive information is transmitted in clear...
Authentication Bypass w NVIDIA Triton Inference Server umożliwiający RCE
NVIDIA NVFlare – authorization bypass przez klucz kontrolowany przez użytkownika