CVE-2025-23350
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w interfejsie poleceń kart NVIDIA ConnectX i BlueField umożliwia lokalnemu użytkownikowi z dostępem do funkcji wirtualnej (VF) zapis poza dozwolonym obszarem pamięci poprzez spreparowane dane wejściowe. Udane wykorzystanie może prowadzić do wykonania dowolnego kodu na urządzeniu.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad kartą sieciową przez lokalnego użytkownika z uprawnieniami VF, co może skutkować eskalacją uprawnień i naruszeniem bezpieczeństwa całej infrastruktury sieciowej.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez NVIDIA dla dotkniętych wersji oprogramowania oraz ograniczenie dostępu do funkcji wirtualnych tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
NVIDIA ConnectX and BlueField contain a vulnerability in the command interface where a local user with virtual function (VF) access may cause a write out of bounds by crafted input. A successful exploit of this vulnerability may lead to arbitrary code execution on the device.

