آسیبپذیری CVE-2025-23310 با شدت 9.8 ناشی از سرریز بافر پشته در اجزای پردازش ورودیها در سرور NVIDIA Triton است. مهاجم میتواند با ارسال ورودیهای ساختگی و بزرگتر از اندازه بافر پیشبینیشده، باعث بروز سرریز در حافظه شود. این موضوع میتواند به اجرای کد دلخواه روی سرور منجر شود یا در نتیجه آن، سرور از کار بیفتد (Denial of Service). همچنین احتمال افشای دادهها یا تغییر غیرمجاز آنها نیز وجود دارد.
آسیبپذیری CVE-2025-23311 با شدت 9.8 مشابه مورد قبلی است، ولی در پردازشگر درخواستهای HTTP سرور رخ میدهد. ارسال درخواستهای HTTP با قالب خاص باعث سرریز بافر پشته میشود. بهرهبرداری موفق از این نقص میتواند منجر به اجرای کد از راه دور، ایجاد اختلال در سرویس، افشای دادهها و تغییر آنها گردد.
محصولات تحتتأثیر
- نسخههای آسیبپذیر: تمام نسخههای قبل از 25.07
- سیستمعاملها: Linux / Windows (تمام توزیعهای پشتیبانیشده)
توصیههای امنیتی
- بروزرسانی فوری: نسخههای آسیبپذیر به نسخهی 25.07 یا جدیدتر بهروزرسانی شوند.
- محدود کردن دسترسی: دسترسی به سرور Triton را به شبکههای امن و منابع معتبر محدود کنید.
- مانیتورینگ: لاگها و ترافیک شبکه را برای شناسایی درخواستهای غیرعادی یا مشکوک پایش کنید.
- تست امنیتی: تست نفوذ و ارزیابی امنیتی منظم روی سرور انجام دهید.
- آموزش: تیمهای توسعه و عملیات را درباره آسیبپذیریهای buffer overflow و روشهای مقابله آموزش دهید.
منابع خبر:
- 64