概述
CVE-2025-23293 - NVIDIA授权许可服务权限提升与信息泄露漏洞
漏洞描述
NVIDIA授权许可服务在所有设备平台中存在一个漏洞,用户/攻击者可能执行授权操作。成功利用此漏洞可能导致信息泄露。
漏洞时间线
- 发布日期:2025年9月30日 18:15
- 最后修改:2025年9月30日 18:15
漏洞详情
- 远程利用:否
- 信息来源:psirt@nvidia.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重程度 | 攻击向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 3.1 | 高 | AV:A/AC:L/PR:L/UI:N/S:C | 2.3 | 5.8 | psirt@nvidia.com |
解决方案
- 更新NVIDIA授权许可服务以解决授权和信息泄露问题
- 应用供应商提供的安全补丁
- 审查授权操作的访问控制
参考资源
| 资源链接 |
|---|
| https://nvd.nist.gov/vuln/detail/CVE-2025-23293 |
| https://nvidia.custhelp.com/app/answers/detail/a_id/5705 |
| https://www.cve.org/CVERecord?id=CVE-2025-23293 |
CWE关联
CWE-306: 关键功能缺少身份验证
CAPEC攻击模式
- CAPEC-12: 选择消息标识符
- CAPEC-36: 使用未发布的接口或功能
- CAPEC-62: 跨站请求伪造
- CAPEC-166: 强制系统重置值
- CAPEC-216: 通信信道操纵
漏洞历史记录
| 时间 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年9月30日 | 新增 | 描述 | - | NVIDIA授权许可服务在所有设备平台中存在漏洞… |
| 2025年9月30日 | 新增 | CVSS V3.1 | - | AV:A/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H |
| 2025年9月30日 | 新增 | CWE | - | CWE-306 |
| 2025年9月30日 | 新增 | 参考链接 | - | 多个参考链接 |
漏洞评分详情
基础CVSS分数: 8.7
攻击向量矩阵:
- 攻击向量:网络相邻/本地/物理
- 攻击复杂度:低/高
- 所需权限:无/低/高
- 用户交互:无/需要
- 范围:已更改/未更改
- 机密性影响:高/低/无
- 完整性影响:高/低/无
- 可用性影响:高/低/无