Nvidia 漏洞致 Jetson 人工智能和机器人平台面临 RCE 和数据窃取风险

英伟达已针对其Jetson Linux和IGX平台发布安全更新，修复了两个可能导致系统遭受代码执行、数据篡改、服务拒绝和信息泄露的漏洞。这两个编号为CVE-2025-23270和CVE-2025-23269的漏洞影响广泛用于人工智能、机器人和嵌入式边缘计算的Jetson Orin及Xavier系列产品。

高危UEFI管理漏洞

其中更严重的CVE-2025-23270漏洞CVSS基础评分为7.1分，影响Jetson Linux的UEFI（统一可扩展固件接口）管理模式。该漏洞允许本地低权限攻击者利用侧信道缺陷，可能导致：

• 任意代码执行
• 关键数据篡改
• 系统服务拒绝
• 敏感信息泄露

英伟达警告称："成功利用此漏洞可能导致代码执行、数据篡改、服务拒绝和信息泄露"。该漏洞源于UEFI隔离环境中对敏感操作的不安全处理，推测执行和共享硬件状态可能无意间跨越权限边界泄露信息。

内核级信息泄露风险

第二个漏洞CVE-2025-23269是CVSS评分4.7的内核漏洞，允许具备本地低权限的攻击者通过共享微架构预测器利用瞬态执行行为。英伟达表示："成功利用此漏洞可能导致信息泄露"。虽然比CVE-2025-23270更难利用，但这个内核级问题可能成为旨在提升权限或从内存提取敏感信息的链式攻击的跳板。

受影响产品及修复方案

这些漏洞影响多款英伟达嵌入式系统，特别是使用Jetson Linux和IGX OS的设备。已发布以下补丁：