英伟达漏洞致 AI 与机器人平台面临远程代码执行和数据泄露风险

英伟达已针对其Jetson Linux和IGX平台发布安全更新，英伟修复了两个可能导致系统遭受代码执行、达漏洞数据篡改、机器服务拒绝和信息泄露的人平漏洞。这两个编号为CVE-2025-23270和CVE-2025-23269的台面漏洞影响广泛用于人工智能、服务器租用机器人和嵌入式边缘计算的临远Jetson Orin及Xavier系列产品 。

高危UEFI管理漏洞

其中更严重的程代CVE-2025-23270漏洞CVSS基础评分为7.1分，影响Jetson Linux的码执UEFI（统一可扩展固件接口）管理模式  。模板下载该漏洞允许本地低权限攻击者利用侧信道缺陷 ，行和泄露可能导致：

任意代码执行关键数据篡改系统服务拒绝敏感信息泄露

英伟达警告称："成功利用此漏洞可能导致代码执行、数据数据篡改、风险服务拒绝和信息泄露"
。英伟该漏洞源于UEFI隔离环境中对敏感操作的达漏洞不安全处理
，免费模板推测执行和共享硬件状态可能无意间跨越权限边界泄露信息 。机器

内核级信息泄露风险

第二个漏洞CVE-2025-23269是人平CVSS评分4.7的内核漏洞，允许具备本地低权限的攻击者通过共享微架构预测器利用瞬态执行行为。亿华云英伟达表示："成功利用此漏洞可能导致信息泄露"。虽然比CVE-2025-23270更难利用，但这个内核级问题可能成为旨在提升权限或从内存提取敏感信息的链式攻击的跳板 。

受影响产品及修复方案

这些漏洞影响多款英伟达嵌入式系统，源码下载特别是使用Jetson Linux和IGX OS的设备。已发布以下补丁
：

产品系列

受影响版本

已修复版本

Jetson Orin系列

JP5.x < 35.6.2, JP6.x < 36.4.4

35.6.2 / 36.4.4

Jetson Xavier系列

JP5.x < 35.6.2

35.6.2

IGX Orin

IGX OS < 1.1.2

IGX 1.1.2

使用Jetson平台开发机器人、自动驾驶汽车 、边缘AI或工业自动化系统的云计算管理员和开发人员应立即更新系统。