Un conjunto recientemente revelado de fallas de seguridad en el servidor de inferencia Triton de Nvidia para Windows y Linux, una plataforma de código abierto para ejecutar modelos de inteligencia artificial (IA) a escala, podría explotarse para hacerse cargo de los servidores susceptibles.
«Cuando se encadenan, estos defectos pueden permitir potencialmente a un atacante remoto y no autenticado obtener un control completo del servidor, lo que logró la ejecución de código remoto (RCE)», dijeron los investigadores de Wiz Ronen Shustin y Nir Ohfeld en un informe publicado hoy.
Las vulnerabilidades se enumeran a continuación –
- CVE-2025-23319 (Puntuación CVSS: 8.1)-Una vulnerabilidad en el backend de Python, donde un atacante podría causar una escritura fuera de los límites enviando una solicitud
- CVE-2025-23320 (Puntuación CVSS: 7.5) – Una vulnerabilidad en el backend de Python, donde un atacante podría hacer que se exceda el límite de memoria compartida enviando una solicitud muy grande.
- CVE-2025-23334 (Puntuación CVSS: 5.9)-Una vulnerabilidad en el backend de Python, donde un atacante podría causar una lectura fuera de los límites al enviar una solicitud
La explotación exitosa de las vulnerabilidades antes mencionadas podría dar lugar a la divulgación de información, así como la ejecución remota del código, la denegación de servicio, la manipulación de datos en el caso de CVE-2025-23319. Los problemas se han abordado en la versión 25.07.
La compañía de seguridad en la nube dijo que las tres deficiencias podrían combinarse que transforma el problema de una fuga de información a un compromiso completo del sistema sin requerir ninguna credencial.
Específicamente, los problemas están enraizados en el backend de Python que está diseñado para manejar las solicitudes de inferencia de modelos de Python de cualquier marco de IA importante como Pytorch y Tensorflow.
En el ataque descrito por Wiz, un actor de amenaza podría explotar CVE-2025-23320 para filtrar el nombre completo y único de la región de memoria compartida IPC interna del backend, una clave que debería haber permanecido privada y luego aprovechar las dos fallas restantes para obtener el control total del servidor de inferencia.
«Esto plantea un riesgo crítico para las organizaciones que usan Triton for AI/ML, ya que un ataque exitoso podría conducir al robo de modelos de IA valiosos, la exposición de datos confidenciales, manipular las respuestas del modelo de IA y un punto de apoyo para que los atacantes se profundicen en una red», dijeron los investigadores.
El Boletín de Augusto de Nvidia para el servidor de inferencia de Triton también destaca las correcciones de tres errores críticos (CVE-2025-23310, CVE-2025-23311 y CVE-2025-23317) que, si se explotan con éxito, podrían dar lugar a la ejecución de código remoto, la negación del servicio, la descripción de la información y la mancha de datos.
Si bien no hay evidencia de que ninguna de estas vulnerabilidades haya sido explotada en la naturaleza, se recomienda a los usuarios que apliquen las últimas actualizaciones para una protección óptima.