Failles de sécurité : de multiples vulnérabilités découvertes dans les Triton Inference Server pour Windows et Linux

Des failles de sécurité ont été récemment divulguées dans les Triton Inference Server pour Windows et Linux. Une plateforme open source qui permet d’exécuter des modèles d’intelligence artificielle (IA) à grande échelle. Elle pourrait être exploitée pour prendre le contrôle de serveurs sensibles. Le bulletin d'août de NVIDIA pour Triton Inference Server met également en évidence les correctifs pour trois bugs critiques (CVE-2025-23310, CVE-2025-23311 et CVE-2025-23317) qui, s'ils sont exploités avec succès, pourraient entraîner l'exécution de code à distance, un déni de service, la divulgation d'informations et la falsification de données.

Les vulnérabilités sont énumérées ci-dessous : 

  • CVE-2025-23319 (score CVSS : 8,1) : une vulnérabilité dans le backend Python, où un attaquant pourrait provoquer une écriture hors limites en envoyant une requête
  • CVE-2025-23320 (score CVSS : 7,5) : une vulnérabilité dans le backend Python, où un attaquant pourrait provoquer le dépassement de la limite de mémoire partagée en envoyant une requête très volumineuse
  • CVE-2025-23334 (score CVSS : 5,9) : une vulnérabilité dans le backend Python, où un attaquant pourrait provoquer une lecture hors limites en envoyant une requête

L'exploitation réussie des vulnérabilités susmentionnées pourrait entraîner la divulgation d'informations, ainsi que l'exécution de code à distance, un déni de service et une falsification de données dans le cas de CVE-2025-23319. Les problèmes ont été résolus dans la version 25.07. Par ailleurs, la société de sécurité cloud a déclaré que les trois lacunes pourraient être combinées pour transformer le problème d'une fuite d'informations en une compromission complète du système sans nécessiter aucune information d'identification.

Risques

  • Contrôle de serveurs sensibles.
  • Dépassement de la limite de mémoire partagée
  • Lecture hors limites
  • Exécution de code à distance
  • Déni de service
  • Falsification de données 

Systèmes affectés

  • Windows
  • Linux

Solutions

  • Appliquer les dernières mises à jour pour une protection optimale

Source : The Hackers News