• 漏洞编号：CVE-2024-0087
• 漏洞等级：严重
• 漏洞标签：发布预警、公开漏洞
• 发布时间：2024-06-19

漏洞描述

NVIDIA Triton Inference Server是NVIDIA 发布的开源软件，用于标准化模型部署并在生产中提供快速且可扩展的 AI。 受影响版本中，Triton 服务器的日志配置接口 /v2/logging 接受设置日志文件绝对路径的 log\_file 参数，攻击者利用该参数可进行任意文件写入，导致远程代码执行。 在修复版本中，通过弃用 log\_file 参数以修复漏洞。

修复建议

1. 将组件 triton_inference_server 升级至 24.04 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-92go-ks4j

https://nvd.nist.gov/vuln/detail/CVE-2024-0087

https://nvidia.custhelp.com/app/answers/detail/a_id/5535

https://github.com/triton-inference-server/server/pull/7092/commits/5209b05854cb0ebfead6c01b562b64089a72aefa

https://www.oscs1024.com/hd/MPS-92go-ks4j