Er is een nieuw beveiligingslek ontdekt in de NVIDIA vGPU software onder CVE-2025-23290. Deze kwetsbaarheid bevindt zich in de Virtual GPU Manager en stelt een gastgebruiker in staat om toegang te krijgen tot wereldwijde GPU-metrieken die mogelijk worden beïnvloed door activiteiten in andere virtuele machines. Dit kan leiden tot informatielekken.
Deze kwetsbaarheid wordt beschouwd als laag risico met een basis score van 2.5 volgens de CVSS v3.1 norm. Hoewel het exploitatiecomplex hoog is en lokale toegang vereist, is het belangrijk op de hoogte te blijven om potentiële risico’s te reduceren.
Overzicht
NVIDIA’s vGPU software heeft een blootstelling van gevoelige informatie door ongeautoriseerde actoren vastgesteld, zoals gespecificeerd door CWE-200. Dit kan gevolgen hebben voor de privacy en veiligheid van de systemen die gebruikmaken van de kwetsbare versies.
Aanbevelingen
- Controleer of uw NVIDIA software zich in de geaffecteerde versies R535 en R570 bevindt en plan onmiddellijk een update naar een nieuwere versie, indien beschikbaar.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-23290?
CVE-2025-23290 is een kwetsbaarheid in NVIDIA’s vGPU software die informatielekken kan veroorzaken door de blootstelling van wereldwijde GPU-metrieken aan gastgebruikers.
Welke systemen zijn kwetsbaar voor CVE-2025-23290?
De systemen die gebruikmaken van de NVIDIA GPU Display Drivers versies R535 en R570 zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Er zijn geen directe updates in de verstrekte gegevens. Kijk regelmatig of er nieuwe updates of patches zijn uitgebracht door NVIDIA.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan vertrouwelijke informatie uit GPU-metrieken verkrijgen zonder directe toestemming, wat een risico op datalekken met zich meebrengt.
