2. Múltiples vulnerabilidades en productos de NVIDIA

Importancia 5 - Crítica

Recursos Afectados

• NVIDIA Container Toolkit: para todas las plataformas y todas las versiones hasta la 1.17.7 inclusive (modo CDI solo para versiones anteriores a la 1.17.5).
• NVIDIA GPU Operator: para sistemas operativos de Linux y todas las versiones hasta la 25.3.0 inclusive (modo CDI solo para versiones anteriores a la 25.3.0).

Descripción

Nir Ohfeld y Shir Tamari en colaboración con Trend Zero Day Initiative han informado de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta que podrían provocar una escalada de privilegios, manipulación de datos, divulgación de información y denegación de servicio.

Solución

Actualizar a:

• NVIDIA Container Toolkit: v1.17.8.
• NVIDIA GPU Operator: v25.3.1.

Detalle

• CVE-2025-23266 : vulnerabilidad en algunos ganchos ( hooks) utilizados para iniciar el contenedor, donde un atacante podría ejecutar código arbitrario con grandes permisos. Explotar esta vulnerabilidad podría provocar una escalada de privilegios, manipulación de datos, divulgación de información y denegación de servicio.
• CVE-2025-23267 : vulnerabilidad en el gancho ( hook) update-ldcache, donde un atacante podría provocar el seguimiento de un enlace mediante una imagen de contenedor especialmente diseñada. Explotar esta vulnerabilidad podría provocar la manipulación de datos y la denegación de servicio.