概述
CVE-2025-33208 是NVIDIA TAO工具包中存在的一个路径遍历漏洞。在此漏洞中,攻击者可能通过不受控制的搜索路径导致资源被加载。成功利用此漏洞可能导致权限提升、数据篡改、拒绝服务和信息泄露。
漏洞时间线
发布日期:2025年12月3日 19:15 最后修改日期:2025年12月4日 17:15 远程利用:是 漏洞来源:psirt@nvidia.com
受影响产品
目前尚未记录具体的受影响产品。
总受影响供应商:0 | 产品:0
CVSS评分
该漏洞的CVSS 3.1评分为 8.8(高危)。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | - | 2.8 | 5.9 | psirt@nvidia.com |
解决方案
- 更新NVIDIA TAO到已修复的版本,以修复不受控制的搜索路径漏洞。
- 将NVIDIA TAO更新到最新版本。
- 移除不受信任的搜索路径。
- 验证加载的资源是受控的。
参考链接
| URL | 资源 |
|---|---|
| https://nvd.nist.gov/vuln/detail/CVE-2025-33208 | NIST漏洞数据库 |
| https://nvidia.custhelp.com/app/answers/detail/a_id/5730 | NVIDIA官方支持 |
| https://www.cve.org/CVERecord?id=CVE-2025-33208 | CVE官方记录 |
CWE - 常见缺陷枚举
CVE-2025-33208与以下CWE相关联:
CWE-427: 不受控制的搜索路径元素
常见攻击模式枚举与分类(CAPEC)
以下攻击模式描述了攻击者利用CVE-2025-33208弱点时常用的属性和方法:
- CAPEC-38: 利用/操纵配置文件搜索路径
- CAPEC-471: 搜索顺序劫持
漏洞历史记录
新CVE接收:由psirt@nvidia.com于2025年12月3日提交
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | NVIDIA TAO包含一个漏洞,攻击者可能通过不受控制的搜索路径导致资源被加载。成功利用此漏洞可能导致权限提升、数据篡改、拒绝服务、信息泄露。 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 添加 | CWE | - | CWE-427 |
| 添加 | 参考 | - | https://nvd.nist.gov/vuln/detail/CVE-2025-33208 |
| 添加 | 参考 | - | https://nvidia.custhelp.com/app/answers/detail/a_id/5730 |
| 添加 | 参考 | - | https://www.cve.org/CVERecord?id=CVE-2025-33208 |
漏洞评分详情
CVSS 3.1基础评分:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高