CRITICAL🇬🇧 English

CVE-2026-24207

Authentication Bypass w NVIDIA Triton Inference Server umożliwiający RCE

CVSS 9.8v3.1pub. 2026-05-20

NVIDIA Triton Inference Server zawiera podatność typu authentication bypass, która pozwala nieuwierzytelnionemu atakującemu z sieci na ominięcie mechanizmów uwierzytelnienia. Skuteczne wykorzystanie podatności może prowadzić do wykonania kodu, eskalacji uprawnień, naruszenia integralności danych, odmowy usługi lub ujawnienia informacji.

Pokaż oryginał (EN)

NVIDIA Triton Inference Server contains a vulnerability where an attacker could cause an authentication bypass. A successful exploit of this vulnerability might lead to code execution, escalation of privileges, data tampering, denial of service, or information disclosure.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) wskazuje, że atakujący może uzyskać dostęp do chronionych zasobów lub funkcji serwera poprzez alternatywną ścieżkę lub kanał komunikacji, omijając standardowe mechanizmy uwierzytelnienia. Atak nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika i może być przeprowadzony zdalnie przez sieć. Wektor CVSS AV:N/AC:L/PR:N/UI:N potwierdza niską złożoność ataku i brak wymagań wstępnych.

Skutki

Atakujący może wykonać dowolny kod na serwerze (RCE), uzyskać podwyższone uprawnienia, modyfikować dane modeli lub żądań inferencji, doprowadzić do niedostępności usługi (DoS) lub ujawnić poufne informacje przetwarzane przez serwer.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawionych wersjach dostępne są w poradniku bezpieczeństwa NVIDIA pod adresem https://nvidia.custhelp.com/app/answers/detail/a_id/5828. Do czasu zastosowania patcha zaleca się ograniczenie dostępu sieciowego do instancji Triton Inference Server poprzez firewall lub mechanizmy sieciowej segmentacji.

Kogo dotyczy

NVIDIA Triton Inference Server — wersje wskazane w referencjach producenta (poradnik bezpieczeństwa NVIDIA ID 5828)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Nvidia Triton Inference Server

    APP
    Nvidia
    < 26.03
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassDoS
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2022-47986CRITICAL9.8⚠ KEVten sam produkt

IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...

CVE-2022-22954CRITICAL9.8⚠ KEVten sam produkt

VMware Workspace ONE Access and Identity Manager contain a remote code execution vulnerability due to server-s...

CVE-2020-4006CRITICAL9.1⚠ KEVten sam produkt

VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address have a...