NVIDIA ha publicado la versión 25.07 de Triton Inference Server (Windows y Linux) para remediar seis fallos que, encadenados, permiten a atacantes no autenticados lograr ejecución remota de código, filtrar información sensible y manipular los modelos de IA cargados. Tres de ellos —CVE-2025-23319, -23320 y -23334— pueden explotarse sin credenciales; los otros tres (CVE-2025-23310, -23311 y -23317) completan el parche de agosto.
¿Qué ocurre exactamente?
| CVE | CVSS | Módulo afectado | Resultado |
|---|---|---|---|
| 23320 | 7.5 | Backend Python | Filtrado de identificadores de memoria compartida (IPC). |
| 23334 | 5.9 | Backend Python | Lectura fuera de límites → robo de datos. |
| 23319 | 8.1 | Backend Python | Escritura fuera de límites → RCE / DoS / tampering. |
| 23310 / 23311 / 23317 | 8.6–9.0 | Núcleo y gRPC | RCE, DoS e info-leak adicionales. |
Un atacante encadena 23320 para descubrir el nombre de la región IPC, usa 23334 para leer su contenido y culmina con 23319, obteniendo ejecución arbitraria con los privilegios del servicio.
Versiones afectadas y parche
| Producto | Versiones vulnerables | Versión segura |
|---|---|---|
| Triton Inference Server | ≤ 25.06 | 25.07 (4 ago 2025) |
NVIDIA indica que no existe evidencia de explotación activa, pero urge a actualizar y seguir sus Secure Deployment Considerations.
Impacto potencial
- Robo de modelos y de los datos empleados para fine-tuning.
- Manipulación de inferencias: resultados alterados o respuestas maliciosas.
- Pivoting interno: uso de GPUs comprometidas para atacar otros nodos o minar criptomonedas.
- Interrupción del servicio (DoS) que afecte aplicaciones en producción.
Recomendaciones de Hispasec
- Actualizar de inmediato a la versión 25.07 y reiniciar el servicio.
- Revocar credenciales y tokens que estuvieran cargados en memoria antes del parche.
- Aislar Triton tras un WAF o mTLS, limitando el acceso gRPC/HTTP a IP de confianza.
- Deshabilitar el backend Python si no se necesita, o ejecutarlo en contenedores con límites estrictos de memoria compartida.
- Reforzar la monitorización: solicitudes a modelos inexistentes o peticiones sobredimensionadas pueden indicar intentos de explotación.
Más información
- The Hacker News – NVIDIA Triton Bugs Let Unauthenticated Attackers Execute Code and Hijack AI Servers
- SecurityWeek – Nvidia Triton Vulnerabilities Pose Big Risk to AI Models
- NVIDIA – Security Bulletin
