CVE-2026-24153 CVSS 5.2 中危

CVE-2026-24153 NVIDIA Jetson Linux 信息泄露漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-24153

漏洞类型

信息泄露

CVSS评分

5.2 中危

攻击向量

物理 (AV:P)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NVIDIA Jetson Linux

漏洞概述

NVIDIA Jetson Linux存在安全漏洞，源于initrd中未禁用nvluks受信任应用程序。攻击者需物理接触设备并拥有低权限，利用此漏洞可能导致敏感信息泄露。该漏洞CVSS评分为5.2，属于中危级别，主要影响机密性。

技术细节

该漏洞的根本原因在于NVIDIA Jetson Linux的initrd（初始RAM磁盘）构建配置不当。在正常的启动流程或安全配置策略中，名为nvluks的受信任应用程序应当被禁用以防止未授权访问。然而，在受影响的版本中，该应用程序在initrd阶段保持活动状态。nvluks通常与NVIDIA Jetson平台的磁盘加密（LUKS）及密钥管理紧密相关，运行在受信任的执行环境（TEE）中。攻击者利用此漏洞需要物理接触设备（攻击向量为物理）并具备较低的本地权限。由于nvluks未被禁用，攻击者可以通过物理接口（如UART调试串口或USB）在系统启动或运行时调用该服务。这可能导致攻击者绕过部分加密保护机制，访问本应受保护的加密密钥或敏感配置信息，从而造成严重的信息泄露风险。

攻击链分析

STEP 1

步骤1：物理接触

攻击者获取对NVIDIA Jetson设备的物理访问权限。

STEP 2

步骤2：获取低权限

攻击者在设备上获得低级别的用户权限（PR:L）。

STEP 3

步骤3：识别漏洞

攻击者检查initrd环境，确认nvluks受信任应用程序未被禁用。

STEP 4

步骤4：利用漏洞

攻击者与nvluks应用程序交互，提取敏感信息或加密密钥，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC to check if nvluks trusted application is active in initrd
# This script demonstrates the check for the vulnerability condition.

echo "[*] Checking initrd environment for nvluks trusted application..."

# Hypothetical check for the nvluks service status
# In a real scenario, this might involve querying the TEE or checking specific processes
if systemctl is-active nvluks-service 2>/dev/null || ps aux | grep -v grep | grep -q nvluks; then
    echo "[+] VULNERABLE: nvluks trusted application is running and not disabled."
    echo "[!] Information disclosure risk is present."
else
    echo "[-] Not Vulnerable: nvluks appears to be disabled or not running."
fi

影响范围

NVIDIA Jetson Linux (具体受影响版本请参阅NVIDIA安全公告)

防御指南

临时缓解措施

在安装官方补丁前，建议严格限制对Jetson设备的物理访问。管理员应审查系统配置，确保nvluks服务在非必要情况下处于禁用状态，并加强对本地调试端口的管控，以降低被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表