CVE-2026-24206NVIDIA Triton Inference Server被曝出存在高危认证绕过漏洞(CVE-2026-24206)。由于服务器端身份验证逻辑存在缺陷,未经授权的远程攻击者可在无需用户交互的情况下绕过安全检查。成功利用此漏洞可能导致攻击者获取敏感信息、造成服务拒绝或提升权限,严重影响系统的机密性、完整性和可用性。
该漏洞的核心在于NVIDIA Triton Inference Server的身份验证模块存在逻辑缺陷。Triton作为高性能推理服务,通常通过HTTP/REST或gRPC接口提供服务,用于部署和运行AI模型。在受影响版本中,服务器在验证特定API请求(如模型管理或健康检查)的凭证时,未能正确校验令牌的完整性或会话状态。攻击者无需拥有有效凭证(PR:N),即可通过网络(AV:N)发送特制的恶意请求绕过这一检查。一旦绕过认证,攻击者即可利用推理服务器的管理接口,执行未经授权的操作。这可能包括修改推理模型配置导致拒绝服务(A:L),读取敏感的模型元数据或加载的权重信息导致信息泄露(C:L),甚至通过加载恶意模型库导致服务器上下文中的权限提升(I:L)。由于攻击链路简单且无需交互,该漏洞具有较高的利用价值。