NVIDIA ha emitido actualizaciones de seguridad cruciales para su Container Toolkit y GPU Operator. Estas actualizaciones abordan dos vulnerabilidades significativas descubiertas en julio de 2025 que podrían permitir a un atacante ejecutar código arbitrario con privilegios elevados.
Detalles de las Vulnerabilidades
La vulnerabilidad más grave, CVE-2025-23266, tiene una puntuación CVSS crítica de 9.0. Esta falla afecta a los ganchos de inicialización dentro de Container Toolkit en todas las plataformas, permitiendo la ejecución de código arbitrario con permisos elevados. Esto podría conducir a una compromiso completo del sistema a través de escalada de privilegios, manipulación de datos, divulgación de información y ataques de denegación de servicio, siendo particularmente peligrosa para entornos en contenedores.
La segunda vulnerabilidad, CVE-2025-23267, tiene una calificación de gravedad alta con una puntuación CVSS de 8.5. Esta falla impacta el gancho update-ldcache y facilita ataques de seguimiento de enlaces mediante imágenes de contenedores especialmente diseñadas, lo que podría resultar en manipulación de datos y ataques de denegación de servicio.
Ambas vulnerabilidades afectan las instalaciones de NVIDIA Container Toolkit en todas las plataformas y el GPU Operator en sistemas Linux.
Acciones Recomendadas y Mitigaciones Temporales
Se recomienda encarecidamente a las organizaciones que utilicen Container Toolkit hasta la versión 1.17.7 o GPU Operator hasta la versión 25.3.0 que actualicen de inmediato a las versiones parcheadas: Container Toolkit 1.17.8 y GPU Operator 25.3.1.
Para aquellos que no puedan actualizar inmediatamente, NVIDIA ofrece mitigaciones temporales:
- Para usuarios de Container Runtime: Desactivar el enlace
enable-cuda-compateditando el archivoconfig.tomlpara establecer el indicador de funciónenable-cuda-compat-lib-hookentrue. - Para usuarios de GPU Operator: Añadir el indicador
enable-cuda-compat-lib-hooka las variables de entorno durante la instalación o las actualizaciones de Helm.
Expertos en seguridad enfatizan la urgencia de implementar estos parches o mitigaciones provisionales, dada la naturaleza crítica de las vulnerabilidades y su potencial de explotación en entornos en contenedores. Priorizar la actualización de estas instalaciones es crucial para mantener la seguridad del sistema.
