- شناسه CVE-2025-23333 :CVE
- CWE-125 :CWE
- yes :Advisory
- منتشر شده: آگوست 6, 2025
- به روز شده: آگوست 6, 2025
- امتیاز: 5.9
- نوع حمله: Out-of-bounds read
- اثر گذاری: Information Disclosure
- حوزه: نرم افزارهای کاربردی
- برند: NVIDIA
- محصول: Triton Inference Server
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری خواندن خارج از محدوده (Out-of-Bounds Read) در NVIDIA Triton Inference Server برای سیستمعاملهای ویندوز و لینوکس، در بکاِند پایتون(Python backend) شناسایی شده است. این آسیب پذیری با دستکاری دادههای حافظه اشتراکی توسط مهاجم ایجاد شده و میتواند منجر به افشای اطلاعات شود.
توضیحات
آسیبپذیری CVE-2025-23333 یک ضعف امنیتی از نوع Out-of-Bounds Read مطابق با CWE-125 است. این نوع آسیبپذیری زمانی رخ میدهد که یک برنامه اقدام به خواندن دادهها از خارج از محدوده حافظه تخصیصیافته نماید و در نتیجه به اطلاعاتی دسترسی پیدا کند که در حالت عادی نباید قابلمشاهده باشد. این آسیب پذیری در بکاند پایتون نرم افزارNVIDIA Triton Inference Server که یک پلتفرم متنباز برای اجرای مدلهای هوش مصنوعی است، رخ میدهد. مهاجم میتواند با دستکاری دادههای حافظه اشتراکی، باعث ایجاد شرایطی شود که سرور دادههای غیرمجاز را بخواند. این دادهها میتوانند شامل اطلاعات حساس ذخیرهشده در حافظه اشتراکی یا جزئیات پیکربندی مدلهای هوش مصنوعی باشند.
این حمله میتواند بهصورت از راه دور و در شرایطی که مهاجم به مکانیزم حافظه اشتراکی سرور دسترسی پیدا کند، اجرا شود. بهرهبرداری از آن نیاز به پیچیدگی بالا دارد و بدون تعامل کاربر انجام میشود، اما در اکثر پیکربندیها نیازمند نوعی دسترسی اولیه به محیط اجرای سرور است. پیامد این آسیبپذیری محرمانگی (Confidentiality) با امکان افشای اطلاعات حساس، مانند دادههای ذخیرهشده در حافظه اشتراکی یا اطلاعات مربوط به مدلهای هوش مصنوعی است.
برای کاربر نهایی، این آسیب پذیری میتواند منجر به دسترسی غیرمجاز به اطلاعات حساس، مانند دادههای مدلهای هوش مصنوعی یا پیکربندیهای سرور شود. شرکت NVIDIA این ضعف را در نسخه 25.07 پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.9 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected at All versions prior to 25.07 | Windows, Linux | Triton Inference Server |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 25.07 | Windows, Linux | Triton Inference Server |
نتیجه گیری
به منظور کاهش خطرات ناشی از آسیبپذیری Out-of-Bounds Read با شناسهCVE-2025-23333 در سرویس NVIDIA Triton Inference Server، به مدیران سیستم و تیمهای امنیتی توصیه میشود این سرویس را در اسرع وقت به نسخه 25.07 یا بالاتر ارتقاء دهند. علاوه بر بهروزرسانی، ضروری است دسترسی به Shared Memory API و فایلهای لاگ محدود شده و تنها برای پردازهها و کاربران مجاز فراهم شود. پیادهسازی کامل دستورالعملهای امنیتی موجود در Secure Deployment Considerations Guide شرکت NVIDIA، برای اطمینان از پیکربندی ایمن سامانه الزامی است. همچنین، پایش مستمر ترافیک شبکه به کمک ابزارهای SIEM یا سامانههای تشخیص و جلوگیری از نفوذ (IDS/IPS) جهت شناسایی درخواستهای غیرمجاز یا الگوهای حمله، استفاده از فایروال و لیستهای کنترل دسترسی (ACL) برای محدود کردن ارتباطات به منابع معتبر، و بازبینی منظم لاگها به منظور کشف فعالیتهای مشکوک یا تلاش برای بهرهبرداری از این آسیبپذیری، از جمله اقدامات تکمیلی و حیاتی در مسیر ایمنسازی زیرساخت محسوب میشوند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-23333
- https://www.cvedetails.com/cve/CVE-2025-23333/
- https://nvidia.custhelp.com/app/answers/detail/a_id/5687
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-23333
- https://vuldb.com/?id.319043
- https://nvd.nist.gov/vuln/detail/CVE-2025-23333
- https://cwe.mitre.org/data/definitions/125.html
- https://github.com/triton-inference-server/server/blob/main/docs/customization_guide/deploy.md
