官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
NVIDIA已修复其Windows版NVIDIA APP中的一个高危漏洞,该漏洞可能允许本地攻击者在受影响系统上执行任意代码并提升权限。
该漏洞编号为CVE-2025-23358,存在于安装程序组件中,对运行该应用的Windows用户构成重大安全风险。该漏洞源于NVIDIA应用安装程序中的搜索路径元素问题,归类于CWE-427漏洞类型。
具备本地访问权限的低权限攻击者可通过操纵搜索路径注入恶意代码来利用此漏洞。
漏洞详情与技术影响
该漏洞需要用户交互才能触发,但成功利用后可获得完整的代码执行权限,并允许在整个系统范围内提升权限。
CVE-2025-23358的CVSS v3.1基础评分为8.2,属于高危漏洞。攻击向量纯粹是本地化的,意味着攻击者必须对目标机器具有物理或逻辑访问权限。
然而,低攻击复杂度加上权限提升能力,使得该漏洞在多用户环境和企业设置中尤为危险。
Windows版NVIDIA应用11.0.5.260之前的所有版本均受此漏洞影响。在此补丁发布前使用任何版本的用户仍面临潜在攻击风险。
该公司建议所有受影响用户立即从NVIDIA应用官方网站下载并安装11.0.5.260或更高版本以降低风险。
| CVE编号 | 受影响产品 | 严重程度 | CVSS评分 |
|---|---|---|---|
| CVE-2025-23358 | Windows版NVIDIA应用(11.0.5.260之前所有版本) | 高危 | 8.2 |
此漏洞凸显了保持第三方软件更新的重要性,即使是NVIDIA实用程序软件这类辅助应用也不例外。
攻击者经常以安装程序组件为目标,因为它们在安装过程中通常以提升的权限运行。
为保护系统安全,请从NVIDIA应用官方网站下载最新版本。该补丁直接解决了搜索路径处理问题,消除了代码执行途径。
管理多台配备NVIDIA设备工作站的企业应优先在其基础设施中部署此更新。安全团队应核查其软件清单,识别运行旧版NVIDIA应用的系统,并协调快速打补丁工作。
参考来源:
NVIDIA NVApp for Windows Vulnerability Let Attackers Execute Malicious Code
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)