محققان امنیت سایبری یک آسیبپذیری دور زدن برای نقص امنیتی وصلهشده (CVE-2024-0132، امتیاز CVSS: 9.0) در NVIDIA Container Toolkit کشف کردهاند که میتواند برای خارج شدن از حفاظتهای جداسازی کانتینر و دسترسی کامل به میزبان اصلی مورد سوء استفاده قرار گیرد.
آسیبپذیری با شناسه CVE-2025-23359 و امتیاز CVSS: 8.3 در NVIDIA Container Toolkit لینوکس از نوع Time-of-Check Time-of-Use (TOCTOU) با پیکربندی پیش فرض استفاده میشود که یک تصویر کانتینر ساخته شده میتواند به سیستم فایل میزبان دسترسی یابد. اکسپلویت موفقیتآمیز از این آسیبپذیری ممکن است منجر به اجرای کد، منع سرویس، ارتقا سطح دسترسی، افشای اطلاعات و دستکاری دادهها شود.» نسخههای زیر را تحت تأثیر این نقص قرار دارند:
- NVIDIA Container Toolkit (همه نسخهها تا و از جمله 1.17.3) – در نسخه 1.17.4 رفع شد.
- NVIDIA GPU Operator (همه نسخهها تا و از جمله 24.9.1) – در نسخه 24.9.2 رفع شد.
https://thehackernews.com/2025/02/researchers-find-new-exploit-bypassing.html
