Hack Alerta

14 falhas em NVIDIA DGX Spark: CVE-2025-33187 é crítico (CVSS 9.3)

Por Redação Hack Alerta Publicado em 27/11/2025 12:02 Cloud Tempo de leitura: 3 min

NVIDIA lançou correção para 14 vulnerabilidades no DGX Spark GB10; a mais crítica é CVE‑2025‑33187 (CVSS 9.3). A fabricante recomenda atualização imediata para o OTA0; falhas permitem execução de código, acesso ao SoC e possível comprometimento de modelos de AI.

A NVIDIA divulgou correção urgente para o DGX Spark GB10 após identificação de 14 vulnerabilidades de firmware que, em conjunto, permitem execução remota de código, escalonamento de privilégios e negação de serviço. A falha mais severa é CVE‑2025‑33187, com CVSS 9.3, que afeta dispositivos executando versões anteriores à atualização OTA0.

Escopo das falhas

As vulnerabilidades residem em múltiplos componentes de firmware do DGX Spark, incluindo SROOT, OSROOT e controles de recursos de hardware do SoC. O conjunto de CVEs cobre várias classes de fraquezas (CWE‑269, CWE‑787, CWE‑119, entre outras), com impactos que variam desde divulgação de informações até execução de código e manipulação do SoC protegido.

Tabela resumida dos CVEs

Entre os itens destacados na divulgação estão:

  • CVE‑2025‑33187 — Base Score 9.3 (CWE‑269): execução de código, divulgação de informação, tampering, DoS, escalonamento de privilégios.
  • CVE‑2025‑33188 — Base Score 8.0 (CWE‑269): informação e tampering.
  • CVE‑2025‑33189 — Base Score 7.8 (CWE‑787): execução de código e escalonamento.
  • Outras CVEs com scores variados até CVE‑2025‑33200 (score 2.3).

Vetor e condições de exploração

Segundo a comunicação, a maioria das falhas requer acesso local para exploração, embora algumas possam ser acionadas sem privilégios. A exposição do SoC protegido por CVE‑2025‑33187 representa um vetor crítico para comprometer a integridade do hardware e dos modelos de AI hospedados no dispositivo.

Impacto operacional

Plataformas DGX Spark são utilizadas para desenvolvimento e treinamento de modelos de machine learning; comprometimento pode levar ao furto ou manipulação de modelos e dados de treinamento, além de interrupção de workloads críticas. A NVIDIA recomenda atualização imediata para a versão DGX OS OTA0 que corrige os 14 CVEs simultaneamente.

Mitigações e recomendações

  • Aplicar a atualização OTA0 nos DGX Spark GB10 sem demora.
  • Isolar workstations de AI em redes segmentadas e limitar acessos locais privilegiados.
  • Inscrever‑se nas bulletins de segurança da NVIDIA e monitorar alertas de Product Security.
  • Revisar controles físicos e de provisioning de imagens para prevenir acesso não autorizado ao firmware.

Limites das fontes

A divulgação técnica lista os CVEs e impactos, mas detalhes pormenorizados de exploits públicos ou PoCs não foram publicados abertamente nas fontes consultadas. Organizações devem assumir criticidade e aplicar correções conforme orientação da fabricante.

Conclusão

O conjunto de 14 vulnerabilidades em um produto de AI com uso intensivo de dados sensíveis exige resposta rápida: patches, segmentação de rede e controles de acesso estritos são medidas essenciais para reduzir risco de comprometimento de modelos e dados de treino.

Baseado em publicação original de Cyber Security News
Tags: #nvidia #dgx-spark #cve #firmware #ai-workstation #ota0 #vulnerabilidade #privilege-escalation #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar