Los investigadores de ciberseguridad han revelado una vulnerabilidad crítica de escape de contenedores en el kit de herramientas de contenedores NVIDIA que podría representar una amenaza severa para los servicios gestionados de la nube de IA.
La vulnerabilidad, rastreada como CVE-2025-23266, tiene una puntuación CVSS de 9.0 de 10.0. Ha sido nombrado en código Nvidiascape por la empresa de seguridad en la nube de Google Wiz.
«El kit de herramientas de contenedores NVIDIA para todas las plataformas contiene una vulnerabilidad en algunos ganchos utilizados para inicializar el contenedor, donde un atacante podría ejecutar código arbitrario con permisos elevados», dijo Nvidia en un aviso para el error.
«Una hazaña exitosa de esta vulnerabilidad podría conducir a la escalada de privilegios, manipulación de datos, divulgación de información y denegación de servicio».
La deficiencia impacta todas las versiones del kit de herramientas de contenedores NVIDIA hasta e incluyendo el operador de 1.17.7 y NVIDIA GPU hasta 25.3.0. El fabricante de GPU ha abordado en las versiones 1.17.8 y 25.3.1, respectivamente.
El conjunto de herramientas de contenedores NVIDIA se refiere a una colección de bibliotecas y utilidades que permiten a los usuarios construir y ejecutar contenedores Docker acelerados con GPU. El operador de GPU NVIDIA está diseñado para implementar estos contenedores automáticamente en nodos GPU en un clúster Kubernetes.
Wiz, que compartió detalles del defecto en un análisis del jueves, dijo que la deficiencia afecta el 37% de los entornos de la nube, lo que permite que un atacante acceda, robe o manipule los datos confidenciales y los modelos patentados de todos los demás clientes que se ejecutan en el mismo hardware compartido por medio de una exploit de tres líneas.
La vulnerabilidad proviene de una configuración errónea en cómo el kit de herramientas maneja el gancho de la iniciativa de contenedor abierto (OCI) «CreateContainer». Un exploit exitoso para CVE-2025-23266 puede dar como resultado una adquisición completa del servidor. Wiz también caracterizó el defecto como «increíblemente» fácil de armar.
«Al configurar LD_PReload en su Dockerfile, un atacante podría instruir al gancho NVIDIA-CTK que cargue una biblioteca maliciosa», agregaron los investigadores de Wiz Nir Ohfeld y Shir Tamari.
«Para empeorar las cosas, el createContainer Hook se ejecuta con su directorio de trabajo establecido en el sistema de archivos raíz del contenedor. Esto significa que la biblioteca maliciosa se puede cargar directamente desde la imagen del contenedor con una ruta simple, completando la cadena de exploit».
Todo esto se puede lograr con un «Dockerfile de tres líneas increíblemente simple» que carga el archivo de objeto compartido del atacante en un proceso privilegiado, lo que resulta en un escape de contenedores.
La divulgación se produce un par de meses después de que WIZ detallara un bypass para otra vulnerabilidad en el kit de herramientas de contenedores nvidia (CVE-2024-0132, puntaje CVSS: 9.0 y CVE-2025-23359, puntaje CVSS: 8.3) que podrían haberse abusado de lograr la aderción completa del host.
«Si bien la exageración sobre los riesgos de seguridad de la IA tiende a centrarse en los ataques futuristas basados en la IA, las vulnerabilidades de infraestructura ‘de la vieja escuela’ en la creciente pila de tecnología de IA siguen siendo la amenaza inmediata que los equipos de seguridad deberían priorizar», dijo Wiz.
«Además, esta investigación destaca, no por primera vez, que los contenedores no son una barrera de seguridad fuerte y no deben confiar en el único medio de aislamiento. Al diseñar aplicaciones, especialmente para entornos de múltiples inquilinos, uno siempre debe» asumir una vulnerabilidad «e implementar al menos una barrera de aislamiento fuerte, como la virtualización».