CRITICAL🇬🇧 English

CVE-2026-0481

Nieograniczone wiązanie adresów IP w AMD Device Metrics Exporter (ROCm)

CVSS 9.2v4.0pub. 2026-05-15

Podatność w komponencie AMD Device Metrics Exporter ekosystemu ROCm umożliwia zdalnemu atakującemu nieautoryzowaną modyfikację konfiguracji GPU. Może to doprowadzić do utraty dostępności zarówno samego urządzenia, jak i systemów od niego zależnych.

Pokaż oryginał (EN)

Unrestricted IP address binding in the AMD Device Metrics Exporter (ROCm ecosystem) could allow a remote attacker to perform unauthorized changes to the GPU configuration, potentially resulting in loss of availability

🤖 Analiza AI
Jak działa

Komponent AMD Device Metrics Exporter nie nakłada odpowiednich ograniczeń na wiązanie adresów IP (CWE-1327 — Binding to an Unrestricted IP Address), co oznacza, że usługa nasłuchuje na interfejsach sieciowych w sposób niekontrolowany. Zdalny atakujący, bez konieczności uwierzytelniania i bez interakcji użytkownika, może wysyłać żądania do tej usługi i dokonywać nieautoryzowanych zmian w konfiguracji GPU. Wektor ataku jest sieciowy, a złożoność ataku — niska, co znacznie obniża próg wejścia dla potencjalnego napastnika.

Skutki

Atakujący może dokonać nieautoryzowanych zmian konfiguracji GPU, co może skutkować utratą dostępności urządzenia oraz systemów powiązanych (SA:H). Integralność i poufność danych nie są bezpośrednio zagrożone według dostępnych informacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa AMD: https://www.amd.com/en/resources/product-security/bulletin/AMD-SB-6031.html. Zaleca się również ograniczenie dostępu sieciowego do usługi AMD Device Metrics Exporter za pomocą firewalla lub reguł ACL do zaufanych adresów IP do czasu wdrożenia patcha.

Kogo dotyczy

AMD Device Metrics Exporter wchodzący w skład ekosystemu ROCm; szczegółowe wersje wskazane w referencjach producenta (biuletyn AMD-SB-6031)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje