文章总结： NVIDIA披露NeMo框架存在三个高危漏洞，包括Linux系统命令注入、跨平台代码注入和不安全反序列化缺陷，CVSS评分均为7.8分。攻击者可在受影响系统上执行任意代码导致权限提升和数据泄露。NVIDIA已发布NeMo2.7.3版本修复漏洞，建议用户立即升级并加强访问控制和输入验证。 综合评分： 75 文章分类： 漏洞分析,威胁情报,云安全,安全建设,解决方案

NVIDIA NeMo曝安全漏洞，系统面临命令注入攻击风险

网安百色

2026年6月17日 18:44 广西

在小说阅读器读本章

去阅读

NVIDIA披露NeMo框架存在多个高危漏洞，含可致远程代码执行的关键命令注入缺陷

NVIDIA在2026年6月安全公告中披露，其NeMo框架存在多个高危漏洞，其中最严重的命令注入漏洞（CVE-2026-24252）可能使攻击者在受影响系统上执行任意代码。该问题影响所有平台中2.7.2及更早版本的NeMo，成功利用将导致权限提升、数据篡改及敏感信息泄露。

核心漏洞风险分析

Linux系统命令注入（CVE-2026-24252）

仅影响Linux部署环境，因对用户输入处理不当，低权限攻击者无需交互即可执行任意系统命令。

考虑到NeMo广泛应用于AI模型开发及自动化部署流程，该漏洞在企业级研发环境中风险尤为突出——模型编排常涉及系统级操作脚本，攻击者可能借此突破权限边界。

跨平台代码注入漏洞（CVE-2026-24155）

归类为CWE-94类漏洞，攻击者可操控应用行为并执行恶意代码，同样导致数据篡改与信息泄露。

不安全反序列化缺陷（CVE-2026-24228）

涉及CWE-502风险，通过构造恶意数据包可能触发远程代码执行或权限提升。

关键风险特征

三项漏洞CVSS v3.1基础评分均为7.8（高危），攻击向量需本地访问权限且仅需低权限，但无需用户交互。

尽管要求本地攻击条件，但在多用户系统、共享计算环境及AI流水线中风险仍显著——此类场景通常已放宽访问控制策略，攻击者易获取初始立足点。

修复与应对建议

NVIDIA已发布NeMo 2.7.3版本修复漏洞，用户需立即从官方GitHub仓库升级。

企业应根据实际部署环境评估风险：

重点检查生产环境与共享集群的访问控制策略

审计自动化脚本中对用户输入的校验机制

对涉及系统级操作的模型编排流程实施权限最小化原则

| CVE编号 | 漏洞类型 | 核心风险 | CVSS评分 | | — | — | — | — | | CVE-2026-24155 | 代码注入（CWE-94） | 恶意代码执行、权限提升、数据篡改、信息泄露 | 7.8（高） | | CVE-2026-24252 | 系统命令注入（CWE-78） | Linux系统任意命令执行 | 7.8（高） | | CVE-2026-24228 | 不可信数据反序列化（CWE-502） | 代码执行、系统沦陷 | 7.8（高） |

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《NVIDIA NeMo曝安全漏洞，系统面临命令注入攻击风险》