吳明宜Nvidia發布軟體更新修補Isaac-GR00T平台的兩個高風險漏洞,編號CVE-2022-33183和CVE-2025-33184,風險值達7.8,可能遭本地攻擊者濫用,導致未授權程式碼執行及資料竄改。建議用戶儘速更新。
Nvidia 本周發佈軟體更新,以修補位於機器人平台 Isaac-GR00T 中的二個高風險漏洞。
這兩個漏洞分別是 CVE-202-33183 及 CVE-2025-33184,源自於 Python 元件程式生成控管不當,可能讓經過驗證的本地攻擊者將惡意程式碼注入平台,引發嚴重後果。
二個漏洞皆為 CVSS 3.1 風險值 7.8 的漏洞,影響執行 Isaac-GR00T N1.5 的所有平台。具有本地存取及低權限的攻擊者,可以濫用輸入驗證不足的漏洞。一旦成功濫用,就會引發未授權任意程式碼執行、權限升級、敏感資訊外洩以及資料竄改。
令人擔憂的是,濫用這兩個漏洞不需要攻擊者有什麼特殊管理員權限,也不需使用者互動。雖然本漏洞的本地攻擊管道 (attack vector) 將攻擊來源縮小到能接觸到系統的人士,但機器人往往是運作於共享環境,有機會接觸到的人很多,也擴大了風險。
所有不包含 commit 7f53666 的 Nvidia Isaac-GR00T 版本都受到影響。 Nvidia 建議機器人廠商或用戶立即安裝更新版軟體。若 Isaac-GR00T 部署在生產環境的企業組織,更應優先修補漏洞。
本漏洞是由趨勢科技 Zero Day Initiative 的 Peter Girnus 揭露並通報。
來源:Cyber Press