Resumo
A NVIDIA lançou correção para CVE‑2025‑32210, uma vulnerabilidade de desserialização no componente Isaac Lab (Isaac Sim) que pode levar à execução arbitrária de código; a falha recebeu CVSS 9.0.
Descrição técnica e escopo
A falha, classificada sob CWE‑502 (desserialização de dados não confiáveis), decorre do tratamento inseguro de conteúdo desserializado dentro do Isaac Lab. Segundo a nota técnica, atacantes com acesso à rede e privilégios baixos, mediante interação mínima do usuário, podem explorar a vulnerabilidade para executar código com impactos em confidencialidade, integridade e disponibilidade.
Afectação de versões e mitigação
A NVIDIA informa que todas as versões anteriores à v2.3.0 do Isaac Lab são vulneráveis. A correção está disponível na release Isaac Lab v2.3.0 — a atualização deve ser aplicada em todos os ambientes de desenvolvimento, teste e produção que utilizem o componente.
Severidade e recomendações
Com CVSS base 9.0 (AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H), trata‑se de uma vulnerabilidade crítica. A recomendação imediata do fornecedor é atualizar para v2.3.0. Além da aplicação do patch, equipes devem:
- Isolar instâncias de Isaac Lab expostas publicamente até aplicação do patch;
- Revisar logs para sinais de exploração e monitorar tentativas de execução remota ou tráfego anômalo a partir dessas instâncias;
- Aplicar princípios de privilégio mínimo e segmentação de rede para limitar acessos a ambientes onde Isaac Lab esteja em execução.
Divulgação e crédito
A NVIDIA publicou informações no Product Security e reconheceu Daniel Teixeira do NVIDIA AI Red Team pelo reporte responsável. A empresa também divulgou canais para subscrição de boletins de segurança.
O que falta
O relatório público não indica exploração ativa em massa até o momento da nota, nem fornece indicadores de compromisso extensivos; organizações devem, contudo, priorizar a atualização dada a criticidade da falha e o baixo requisito de interação para exploração.
Fonte
Cyber Security News (resumo de comunicado NVIDIA)