أعلنت NVIDIA عن وجود ثغرتين خطيرتين من نوع “حقن التعليمات البرمجية” في منصة الروبوتات الخاصة بها Isaac-GROOT، تهدد بتنفيذ أوامر عشوائية ورفع الصلاحيات وتعديل البيانات على الأنظمة المستهدفة.
الثغرتان، المعرفتان بـCVE-2025-33183 وCVE-2025-33184، تنشآن في مكونات Python وتسمحان للمهاجمين من ذوي الصلاحيات المحدودة بتنفيذ شيفرات خبيثة دون الحاجة إلى تفاعل المستخدم، وهو ما قد يؤدي إلى السيطرة الكاملة على النظام.
تفاصيل الثغرتين وتأثيراتهما الأمنية
تشمل الثغرات جميع إصدارات Isaac-GROOT N1.5 على مختلف المنصات. ويكفي للمهاجم أن يمتلك صلاحية محلية منخفضة لاستغلال الثغرة دون أي تدخل من المستخدم.
| رقم الثغرة | الوصف | درجة الخطورة (CVSS) | التصنيف الفني (CWE) | نمط الهجوم |
|---|---|---|---|---|
| CVE-2025-33183 | حقن شيفرة في مكون Python يتيح تنفيذ أوامر عشوائية | 7.8 | CWE-94 | محلي – صلاحيات منخفضة |
| CVE-2025-33184 | حقن شيفرة في مكون Python يتيح تنفيذ أوامر عشوائية | 7.8 | CWE-94 | محلي – صلاحيات منخفضة |
في حال نجاح الهجوم، يمكن للمهاجم تنفيذ تعليمات برمجية غير مصرح بها، ورفع مستوى الصلاحيات، والاطلاع على بيانات حساسة، أو حتى تعديل بيانات النظام، ما يشكل تهديداً مباشراً لسلامة أنظمة التشغيل الآلي والروبوتات المستخدمة في المصانع ومراكز الأبحاث والمركبات الذاتية.
تعود المشكلة التقنية إلى ضعف في التعامل مع مدخلات المستخدم داخل مكونات Python، ويصنف هذا الضعف ضمن فئة CWE-94، وهي ثغرة مشهورة تم استغلالها في العديد من الهجمات السابقة التي تستهدف بيئات تشغيل الشيفرات التفسيرية.
إجراءات التحديث والتوصيات الأمنية
أصدرت NVIDIA تحديثاً أمنياً يسد الثغرتين عبر مستودع GitHub ضمن التعليمة البرمجية رقم 7f53666 في مستودع Isaac-GROOT. وتنصح كافة مستخدمي المنصة بتحديث الفروع البرمجية إلى نسخة تشمل هذا الالتزام فوراً.
كما شددت الشركة على منح مسؤولي الأنظمة أولوية قصوى لتطبيق هذا التحديث على جميع التوزيعات المعتمدة للمنصة. أما المؤسسات غير القادرة على التحديث الفوري، فينصح بتقييد الوصول المحلي إلى الأنظمة المتأثرة ومراقبة أي نشاط غير اعتيادي.
تتابع وحدة الاستجابة للحوادث الأمنية في NVIDIA (PSIRT) الوضع عن كثب وترصد أي محاولات استغلال للثغرتين. وقد تم الإفصاح المسؤول عنهما من قبل الباحث الأمني Peter Girnus التابع لمبادرة Zero Day التابعة لـTrend Micro.
