NVIDIA
ha publicat un butlletí de seguretat el desembre de 2025 en
què alerta sobre la correcció de múltiples vulnerabilitats crítiques que
afecten NVIDIA Isaac Launchable, una ferramenta utilitzada en entorns de
robòtica i simulació. Segons el fabricant, l’explotació d’estes vulnerabilitats
podria permetre a un atacant remot executar codi arbitrari, escalar
privilegis, provocar denegacions de servici i manipular dades, de manera
que comprometria greument els sistemes afectats.
El
butlletí, actualitzat el 22 de desembre de 2025, detalla tres
vulnerabilitats catalogades amb severitat crítica (CVSS 9.8) que
afecten totes les versions anteriors a la 1.1. Les fallades
identificades permeten la seua explotació a través de la xarxa,
sense necessitat d’autenticació prèvia ni interacció per part de l’usuari, la
qual cosa incrementa notablement el risc.
Entre
les vulnerabilitats corregides es troben problemes derivats de l’ús de
credencials predefinides i d’execucions amb privilegis
innecessaris. En concret, les CVE CVE-2025-33222, CVE-2025-33223 i CVE-2025-33224 podrien
ser aprofitades per un atacant per a obtindre control total del sistema, de
manera que afectaria la confidencialitat, integritat i disponibilitat dels
entorns on s’utilitze Isaac Launchable.
Des
de CSIRT-CV es recorda la importància de mantindre el
programari actualitzat, especialment en ferramentes que operen en entorns
crítics o exposats a xarxa. NVIDIA recomana actualitzar de manera
immediata a la versió 1.1 o superior, així com revisar que no existisquen
instàncies obsoletes desplegades en entorns productius o de proves. Així
mateix, s’aconsella restringir l’accés als sistemes que
executen Isaac Launchable i aplicar el principi de mínim privilegi.
Per
a més informació tècnica i detalls oficials sobre estes vulnerabilitats, pot
consultar-se l’avís de seguretat publicat per NVIDIA.
Referències: