FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

多产品线受影响

NVIDIA近日发布了一系列关键软件更新，修复了其BlueField DPU（数据处理器）、DOCA（数据中心基础设施架构）软件框架、Mellanox DPDK（数据平面开发工具包）、ConnectX网络适配器、Cumulus Linux和NVOS产品中的多个漏洞。其中部分漏洞评级为高危至严重级别，可能导致权限提升、拒绝服务及信息泄露等风险。

高危漏洞详情

最严重的漏洞CVE-2025-23256影响NVIDIA BlueField管理接口。NVIDIA警告称："本地攻击者可利用此漏洞绕过授权修改配置。成功利用可能导致拒绝服务、权限提升、信息泄露和数据篡改。"目前BlueField-2和BlueField-3已发布修复版本45.1020、35.4554(LTS22)、39.5050(LTS23)和43.3608(LTS24)。

两个权限提升漏洞(CVE-2025-23257和CVE-2025-23258)影响NVIDIA DOCA的Debian软件包(collectx-clxapidev和collectx-dpeserver)，CVSS评分均为7.3分，可能允许低权限用户提升访问权限。NVIDIA确认："成功利用此漏洞可能导致权限提升。"修复补丁已在DOCA 2.9.3、2.5.4和3.0.0版本中发布。

其他产品漏洞

另一个漏洞CVE-2025-23259影响Mellanox DPDK Poll Mode Driver(PMD)。NVIDIA表示："系统中的虚拟机攻击者可能导致网络接口信息泄露和拒绝服务。"该问题已在DPDK 22.11_2504.1.0 GA版本及多个LTS版本(22.11.10 LTS、24.11.3 LTS等)中修复。

NVIDIA ConnectX适配器中的漏洞(CVE-2025-23262)与BlueField漏洞类似，允许本地攻击者绕过授权篡改配置数据。安全公告指出这可能引发权限提升、拒绝服务或数据操纵。ConnectX-5、6、7和8适配器已发布修复版本，涵盖GA和LTS分支。

信息泄露风险

一个严重程度较低但仍需注意的漏洞(CVE-2025-23261)影响NVIDIA Cumulus Linux和NVOS产品。NVIDIA披露："日志文件中未正确屏蔽哈希用户密码，可能导致未授权用户获取敏感信息。"修复补丁已在Cumulus Linux 5.13、NVOS 25.02.42xx(NVSwitch)和25.02.4xxx(IBSwitch)中提供。

参考来源：

NVIDIA Issues Security Updates for BlueField, DOCA, Mellanox, ConnectX, Cumulus Linux, and NVOS

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）