CVE-2025-23361 CVSS 7.8 高危

CVE-2025-23361: NVIDIA NeMo Framework 代码注入漏洞

披露日期: 2025-11-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-23361

漏洞类型

代码注入/远程代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NVIDIA NeMo Framework

漏洞概述

NVIDIA NeMo Framework在所有平台上存在代码注入漏洞。漏洞源于框架脚本中缺乏对用户输入的充分验证，攻击者可通过构造恶意输入操控代码生成过程。该漏洞可被本地低权限用户利用，无需用户交互即可实现代码执行、权限提升、信息泄露和数据篡改等危害。CVSS评分7.8，属于高危漏洞。

技术细节

该漏洞位于NVIDIA NeMo Framework的脚本处理模块，攻击者通过在代码生成阶段注入恶意代码片段，利用框架对输入验证不足的缺陷执行任意代码。攻击成功可导致系统完全沦陷。

攻击链分析

STEP 1

侦察

识别目标系统运行的NVIDIA NeMo Framework版本

STEP 2

权限获取

以低权限用户身份访问系统

STEP 3

漏洞利用

通过脚本接口注入恶意代码

STEP 4

代码执行

获得系统级代码执行能力

STEP 5

持久化

提升权限并建立长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target.com/neMo'
payload = '{"input": "__import__(\'os\').system(\'whoami\')#"}'
response = requests.post(f'{target}/generate', json={'code': payload})
print(response.json())

影响范围

NVIDIA NeMo Framework < 1.0.0

防御指南

临时缓解措施

立即隔离受影响系统，禁用NeMo Framework的非必要功能，直到完成安全更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表