漏洞概述
NVIDIA Merlin Transformers4Rec(适用于所有平台)存在一个代码注入漏洞(CVE-2025-33233)。攻击者可利用该漏洞实现代码执行、权限提升、信息泄露及数据篡改,构成严重安全风险。
漏洞详情
- CVE 编号:CVE-2025-33233
- 漏洞类型:代码注入(CWE-94)
- CVSS 评分:7.8(HIGH)
- 影响版本:NVIDIA Merlin Transformers4Rec 所有平台版本
影响范围
所有使用 NVIDIA Merlin Transformers4Rec 的系统和平台均受此漏洞影响,无论操作系统或部署环境。
风险分析
该漏洞允许本地攻击者在具备低权限的情况下,无需用户交互即可注入并执行任意代码。成功利用可能导致完全的系统控制权获取、敏感数据泄露、系统完整性破坏及服务不可用,风险等级为高。
修复建议
- 建议用户密切关注 NVIDIA 官方安全公告,并在补丁发布后立即升级至修复版本。
- 在官方修复方案可用前,应限制对相关组件的本地访问权限,最小化潜在攻击面。
