DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
NVIDIAのデータセンター向けに提供されている「DPU」の「NVIDIA Networking BlueField」やネットワークインタフェースカード「ConnectX」に複数の脆弱性が明らかとなった。
同社は現地時間2026年6月30日、セキュリティアドバイザリを公開し、2件の脆弱性「CVE-2025-23351」「CVE-2025-23350」について明らかにした。
いずれもコマンドインタフェースにおける境界外書き込みの脆弱性で、仮想ファンクション(VF)へアクセスできる場合に悪用でき、対象デバイス上で任意のコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアはともに「9.0」としており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。信頼できないテナントを収容している場合などは特に注意が必要としている。
ただし「ConnectX-8」については、追加のセキュリティ対策が講じられており、それら対策を回避して悪用するには相当なリソースを要すると説明。悪用のリスクがやや低いとしてCVSS基本値を「8.0」、重要度を「高(High)」とした。
同社は脆弱性を修正したファームウェアを各環境向けに提供。利用者に注意を呼びかけている。
(Security NEXT - 2026/07/07 )
ツイート
PR
関連記事
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「IBM WebSphere Application Server」の管理画面に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
