NVIDIA NeMo AI框架远程代码执行漏洞（CVE-2025-23303/23304）

秋水5326

NVIDIA NeMo是一个面向生成式AI的框架，支持大语言模型、多模态模型以及语音AI。它提供了训练、微调和部署模型的工具，同时可以基于现有代码和预训练模型检查点来创建和定制新的 AI 模型。8月11日，NVIDIA官方发布一条安全公告，修复了两个NeMo框架的高危漏洞（CVE-2025-23303和CVE-2025-23304），允许攻击者在加载模型时执行任意代码。为避免该漏洞带来的安全风险，建议相关用户及时更新至最新版本。
影响版本：
NVIDIA NeMo Framework <2.3.2
漏洞成因：
CVE-2025-23303当使用受限制的反序列化机制（RestrictedUnpickler）加载经过压缩后的模型数据时，会触发UnpicklingError。框架在捕获该异常后，通过joblib.load重新加载模型数据。由于此时不再受到RestrictedUnpickler的限制，攻击者可以利用这一行为，将精心构造的模型文件加载到系统中，从而触发任意代码执行。CVE-2025-23304在NeMo框架中，训练过程会根据配置文件动态创建和初始化模型组件。如果配置文件中包含恶意构造的类或参数，框架在实例化相关组件时将会执行其中的恶意代码。攻击者可以通过构造恶意配置文件，在模型训练或微调阶段触发任意代码执行。
修复建议：
NVIDIA官方已发布安全通告并发布了修复版本，请尽快下载2.3.2版本修复漏洞。