CRITICAL🇬🇧 English

CVE-2026-24178

NVIDIA NVFlare – authorization bypass przez klucz kontrolowany przez użytkownika

CVSS 9.8v3.1pub. 2026-04-28upd. 2026-05-04

NVIDIA NVFlare Dashboard zawiera krytyczną podatność w systemie zarządzania użytkownikami i uwierzytelniania, pozwalającą nieuautoryzowanemu atakującemu na obejście mechanizmów autoryzacji. Skuteczne wykorzystanie podatności może prowadzić do przejęcia kontroli nad systemem, w tym do wykonania dowolnego kodu.

Pokaż oryginał (EN)

NVIDIA NVFlare Dashboard contains a vulnerability in the user management and authentication system where an unauthenticated attacker may cause authorization bypass through user-controlled key. A successful exploit of this vulnerability may lead to privilege escalation, data tampering, information disclosure, code execution, and denial of service.

🤖 Analiza AI
Jak działa

Podatność (CWE-639) polega na tym, że system autoryzacji opiera się na kluczu, który może być kontrolowany przez atakującego po stronie klienta. Nieuautoryzowany atakujący może manipulować tym kluczem w taki sposób, aby uzyskać dostęp do zasobów lub funkcji zastrzeżonych dla uprawnionych użytkowników. Atak nie wymaga żadnego uwierzytelnienia, posiadania konta ani interakcji ze strony ofiary, a może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może osiągnąć privilege escalation, modyfikację danych (data tampering), ujawnienie poufnych informacji (information disclosure), zdalne wykonanie kodu (RCE) oraz wywołanie odmowy usługi (DoS) — potencjalnie przejmując pełną kontrolę nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://nvidia.custhelp.com/app/answers/detail/a_id/5819). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu Dashboard NVFlare wyłącznie do zaufanych hostów oraz sieci wewnętrznych.

Kogo dotyczy

NVIDIA NVFlare Dashboard działający na Apple macOS oraz Linux (Linux Kernel); dokładne wersje wskazane w referencjach producenta (https://nvidia.custhelp.com/app/answers/detail/a_id/5819)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Nvidia Nvflare

    APP
    Nvidia
    < 2.7.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassLPEDoS
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio