漏洞概述
NVIDIA Nsight Systems for Windows 存在一个 DLL 加载机制中的安全漏洞,攻击者可利用不安全的 DLL 搜索路径,导致不受控的搜索路径元素(Uncontrolled Search Path Element)。成功利用该漏洞可能导致代码执行、权限提升、数据篡改、拒绝服务以及信息泄露。
漏洞详情
- CVE 编号:CVE-2025-33231
- 漏洞类型:CWE-427:未受控的搜索路径元素(Uncontrolled Search Path Element)
- CVSS 评分:6.7(中危),CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
- 影响版本:NVIDIA Nsight Systems for Windows(具体受影响版本请参考厂商公告)
影响范围
该漏洞影响 NVIDIA Nsight Systems for Windows 应用程序。由于 DLL 加载过程中未正确限定搜索路径,本地低权限攻击者在用户交互前提下,可能通过放置恶意 DLL 文件实现攻击。
风险分析
攻击者需具备本地访问权限,并诱使用户执行受影响的应用程序。一旦成功利用,可实现任意代码执行、提权、数据篡改、服务中断或敏感信息泄露,对系统安全构成中等程度威胁。
修复建议
- 建议用户及时关注 NVIDIA 官方安全公告,并升级至已修复该漏洞的最新版本。
- 在官方补丁发布前,应限制本地非授权用户对系统目录的写入权限,避免将不可信 DLL 文件放置于应用程序可搜索路径中。
