NVIDIAのLLMフレームワーク「NeMo Framework」などに脆弱性 - 修正版を提供

NVIDIAが提供する生成AIや大規模言語モデル（LLM）のフレームワークである「NVIDIA NeMo（Neural Modules）Framework」や「NeMo Curator」に脆弱性が明らかとなった。アップデートが提供されている。

「NeMo Framework」では、コードインジェクションの脆弱性「CVE-2025-23312」「CVE-2025-23313」「CVE-2025-23314」「CVE-2025-23315」が報告された。

リトリーバルサービスやNLPコンポーネント、エクスポートおよびデプロイ機能などに明らかとなった脆弱性で、細工されたデータを処理することで任意のコードを実行されたり、権限の昇格、情報漏洩、改ざんなどが発生するおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「7.8」、重要度は「高（High）」とレーティングされている。「NeMo Framework 2.4.0」にて脆弱性を修正した。

また関連ツールである「NeMo Curator」においても脆弱性「CVE-2025-23307」が明らかとなっている。細工されたファイルを処理した際にコードを実行されるおそれがある。CVSS基本値のベーススコアは同じく「7.8」で重要度は「高（High）」とされる。

同社は「NeMo Curator 25.07」にて脆弱性を解消。利用者に注意を呼びかけている。

（Security NEXT - 2025/08/29 ）ツイート