本文详细分析了NVIDIA Isaac-GR00T机器人开发平台中TorchSerializer类的一个高危反序列化漏洞（CVE-2025-33183）。该漏洞CVSS评分9.8，允许远程攻击者无需认证即可在root权限下执行任意代码，并提供了官方的修复链接与时间线。

ZDI-25-1041 | Zero Day Initiative 安全公告

漏洞详情

发布日期：2025年12月4日

漏洞名称：NVIDIA Isaac-GR00T TorchSerializer 反序列化不可信数据远程代码执行漏洞 ZDI标识：ZDI-25-1041 ZDI-CAN ID：ZDI-CAN-27950

CVE ID：CVE-2025-33183

CVSS 评分：9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

受影响的厂商：NVIDIA

受影响的产品：Isaac-GR00T

此漏洞允许远程攻击者在受影响的NVIDIA Isaac-GR00T安装上执行任意代码。利用此漏洞无需身份验证。

具体缺陷存在于TorchSerializer类中。该问题源于对用户提供的数据缺乏适当的验证，可能导致不可信数据的反序列化。攻击者可利用此漏洞在root权限上下文中执行代码。

NVIDIA已发布更新以修复此漏洞。更多详细信息可在以下链接找到： https://nvidia.custhelp.com/app/answers/detail/a_id/5725

趋势科技Zero Day Initiative的Peter Girnus (@gothburz)