CVE-2025-33186 - NVIDIA AIStore认证权限提升与信息泄露漏洞
概述
漏洞描述
NVIDIA AIStore的AuthN组件存在安全漏洞。成功利用此漏洞可能导致权限提升、信息泄露和数据篡改。
基本信息
发布日期:2025年11月11日 17:15
最后修改:2025年11月11日 17:15
远程利用:是
来源:psirt@nvidia.com
受影响产品
目前尚未记录受影响的具体产品信息。
统计信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
评分详情
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | - | 2.8 | 5.9 | psirt@nvidia.com |
解决方案
修复措施
- 更新NVIDIA AIStore至最新版本
- 审查并实施严格的认证机制
- 为用户访问实施最小权限原则
- 监控未经授权的数据访问或修改行为
相关参考资源
| URL | 资源描述 |
|---|---|
| https://nvd.nist.gov/vuln/detail/CVE-2025-33186 | NVD漏洞详情 |
| https://nvidia.custhelp.com/app/answers/detail/a_id/5724 | NVIDIA官方解决方案 |
| https://www.cve.org/CVERecord?id=CVE-2025-33186 | CVE记录 |
弱点枚举(CWE)
CWE-798:使用硬编码凭证
攻击模式分类(CAPEC)
CAPEC-70:尝试常见或默认的用户名和密码
CAPEC-191:读取可执行文件中的敏感常量
漏洞时间线
2025年11月11日 - 收到来自psirt@nvidia.com的新CVE报告
变更记录
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | NVIDIA AIStore的AuthN组件存在漏洞… |
| 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 新增 | CWE | - | CWE-798 |
| 新增 | 参考链接 | - | NVD漏洞详情链接 |
| 新增 | 参考链接 | - | NVIDIA官方解决方案链接 |
| 新增 | 参考链接 | - | CVE记录链接 |
CVSS 3.1评分详情
基础CVSS分数:8.8
攻击向量分析
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 作用范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高