概要

NVIDIAは2026年1月21日、Linuxシステム向け「Nsight Graphics」に存在する緊急のセキュリティ脆弱性に対処するためのアップデートをリリースしました。この脆弱性は「CVE-2025-33206」として追跡されており、コマンドインジェクションを介して攻撃者が任意のコードを実行できるため、開発およびグラフィックス分析ワークフローに重大なリスクをもたらします。

脆弱性の詳細

この欠陥は、Nsight Graphicsのバージョン2025.5より前のすべてのLinuxバージョンに存在します。ローカルアクセス権を持つ攻撃者は、この脆弱性を悪用して悪意のあるコマンドを注入し、不正なコード実行、特権昇格、データ操作、およびシステム侵害につながる可能性があります。この脆弱性はユーザー操作を必要としますが、特別な権限なしで悪用可能です。

• CVE ID: CVE-2025-33206
• CWE: CWE-78 (OSコマンドで使用される特殊エレメントの不適切な無害化)
• CVSSスコア: 7.8
• 深刻度: 高

攻撃ベクトルはローカル（AV:L）であり、攻撃の複雑さは低（AC:L）、権限は不要（PR:N）ですが、ユーザー操作が必要です（UI:R）。この脆弱性は、機密性、完全性、可用性の各側面で高い影響を与えます。

影響を受けるシステムと対策

Nsight GraphicsをLinuxインフラストラクチャで実行している組織は、直ちにバージョン2025.5以降にアップデートする必要があります。この脆弱性は、グラフィックス開発者、パフォーマンス分析チーム、およびLinuxシステムでレンダリング最適化とプロファイリングにNsight Graphicsを利用しているすべての組織に影響を与えます。

• 製品: NSIGHT Graphics
• プラットフォーム: Linux
• 影響を受けるバージョン: 2025.5より前のすべてのバージョン
• 更新バージョン: 2025.5

この脆弱性が悪用されると、開発環境が侵害されたり、独自のグラフィックスアルゴリズムが盗まれたり、企業ネットワーク内に永続的なアクセスが確立されたりする可能性があります。

推奨される対応策

NVIDIAは、以下の対応策を推奨しています。

• Nsight Graphicsバージョン2025.5を直ちにダウンロードしてインストールする。
• Nsight Graphicsが実行されているシステムのローカルアクセス制御を監査する。
• 不審なコマンドインジェクションの試行がないかシステムログを監視する。
• グラフィックスパイプラインにおける環境変数と入力処理を見直す。

ローカルアクセス制御が厳しく、グラフィックスワークステーションが隔離されている組織は、共有開発インフラストラクチャを持つ組織と比較して、露出が軽減されるとNVIDIAは指摘しています。

---

元記事: https://gbhackers.com/nvidia-nsight-graphics-on-linux-exposed/