[TLP:CLEAR] NVIDIA opravuje 36 zranitelností

NVIDIA opravuje 36 zranitelností (od května 2026) v různých produktech. Nejzávažnější z nich najdete popsané níže, zbylé pak v oficiálním bezpečnostním bulletinu výrobce [1]. NVIDIA NVTabular - 08e0633 [2] Isaac Launchable - 1.2 [3] NVIDIA Merlin Transformers4Rec - jakýkoliv commit ve větvi main po 11. 3. 2026 [4] Triton Inference Server (Linux) - r26.03 [5] Triton Inference Server (DALI Backend) - r26.03 [5] TensorRT-LLM - v1.2.1 [6] NVIDIA GPU Display Drivers - výpis opravených verzí naleznete na [7] TensorRT - v10.16.1 [8] DGX Spark - OTA0 [9] BioNeMo Framework (Linux) - jakákoliv větev kódu zahrnující commit dfd83a7 [10]

NVIDIA Triton Inference Server - RCE, DoS, data tampering (CVE-2026-24207)
CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je v platformě NVIDIA Triton Inference Server umožněno obejít autentizaci a následně zvýšit svá oprávnění, manipulovat s daty, získat přístup k informacím a způsobit DoS nebo vykonat RCE [5].

Zranitelnost se nachází v produktu Triton Inference Server (linux) ve verzích <r26.03.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 19. 5. 2026.

NVIDIA BioNeMo Framework - RCE, DoS, data tampering (CVE-2026-24217)
CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je ve frameworku NVIDIA BioNeMo Core for Linux umožněno zneužít zranitelnost typu path traversal, a tím získat přístup k informacím, manipulovat s daty a vykonat RCE nebo DoS [10].

Zranitelnost se nachází v produktu BioNeMo Framework (linux) ve verzích <commit dfd83a7.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 19. 5. 2026.

NVIDIA GPU Display Drivers - DoS, PE, RCE, data tampering (CVE-2026-24187)
CVSS 8.8 (High)

Autentizovanému lokálnímu útočníkovi je v ovladači NVIDIA Display Driver for Linux umožněno zneužít zranitelnost typu use-after-free, a tím zvýšit svá oprávnění a získat přístup k informacím, manipulovat s daty a vykonat ACE nebo DoS [7]. Zranitelné produkty a jejich verze naleznete na [7].

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 19. 5. 2026.

NVIDIA DGX Spark - RCE, DoS, EoP, data tampering (CVE-2026-24218)
CVSS 8.1 (High)

Neautentizovanému vzdálenému útočníkovi je v operačním systému NVIDIA DGX OS umožněno provést podvržení identity hostitele nebo útok typu MitM a to v důsledku zranitelnosti vzniklé z továrního klonování základního obrazu, které způsobuje nasazení identických SSH hostitelských klíčů na více systémů. Sdílení těchto kryptografických identifikátorů může útočník zneužít ke zvýšení oprávnění, získání přístupu k informacím, manipulaci s daty a k vykonání RCE či DoS [9]

Zranitelnost se nachází v produktu DGX Spark (nvidia dgx os) ve verzích <OTA0.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 19. 5. 2026.

NVIDIA TensorRT - Data tampering, DoS (CVE-2026-24188)
CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je v knihovně NVIDIA TensorRT umožněno provést zápis mimo vyhrazený rozsah paměti, a tím manipulovat s daty a vykonat DoS [8].

Zranitelnost se nachází v produktu NVIDIA TensorRT ve verzích < v10.16.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 19. 5. 2026.

Za CESNET-CERTS Táňa Macháčková dne 9. 6. 2026.

CESNET-CERTS Logo