NVIDIA opravuje 5 zranitelností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] NVIDIA opravuje 5 zranitelností

NVIDIA opravuje 5 zranitelností v produktech NVIDIA Merlin Transformers4Rec a NVIDIA CUDA Toolkit. Nejzávažnější jsou popsány níže, zbylé naleznete na [1][2]. Produkty a jejich opravy: NVIDIA Merlin Transformers4Rec - všechny verze, které obsahují commit 27ddd49 [1] NVIDIA CUDA Toolkit - 13.1 [2]

NVIDIA Merlin - code execution, escalation of privileges, information disclosure, data tampering (CVE-2025-33233)

CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti v NVIDIA Merlin Transformers4Rec pro všechny platformy umožněno prostřednictvím injekce kódu dosáhnout spuštění kódu, eskalace oprávnění, úniku informací nebo manipulace s daty [1].

Zranitelnost se nachází v produktu NVIDIA Merlin Transformers4Rec.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-33233 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-502: Deserialization of Untrusted Data at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 1. 2026.

NVIDIA CUDA Toolkit - code execution, escalation of privileges, data tampering, denial of service, information disclosure (CVE-2025-33228)

CVSS 7.3 (High)

Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti v gfx_hotspot v NVIDIA Nsight Systems umožněno prostřednictvím injekce příkazů při ručním spuštění skriptu process_nsys_rep_cli.py dosáhnout spuštění kódu, eskalace oprávnění, manipulace s daty, odepření služby nebo úniku informací [2].

Zranitelnost se nachází v produktu NVIDIA CUDA Toolkit ve verzích <13.1.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-33228 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 1. 2026.

NVIDIA CUDA Toolkit - code execution, escalation of privileges, data tampering, denial of service, information disclosure (CVE-2025-33229)

CVSS 7.3 (High)

Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti v komponentě Nsight Monitor v NVIDIA Nsight Visual Studio pro Windows umožněno spustit libovolný kód se stejnými oprávněními jako aplikace NVIDIA Nsight Visual Studio Edition Monitor, což může vést k eskalaci oprávnění, spuštění kódu, manipulaci s daty, odepření služby nebo úniku informací [2].

Zranitelnost se nachází v produktu NVIDIA CUDA Toolkit ve verzích <13.1.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-33229 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-427: Uncontrolled Search Path Element at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 1. 2026.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 28. 1. 2026.

Zpětná vazba k reportu

[TLP:CLEAR] NVIDIA opravuje 5 zranitelností

NVIDIA Merlin - code execution, escalation of privileges, information disclosure, data tampering (CVE-2025-33233)

CVSS 7.8 (High)

NVIDIA CUDA Toolkit - code execution, escalation of privileges, data tampering, denial of service, information disclosure (CVE-2025-33228)

CVSS 7.3 (High)

NVIDIA CUDA Toolkit - code execution, escalation of privileges, data tampering, denial of service, information disclosure (CVE-2025-33229)

CVSS 7.3 (High)

Odkazy