漏洞  ·  2026-07-15

NVIDIA TensorRT-LLM — 多个反序列化、IPC 和编排器漏洞

漏洞High 影响GlobalCVE-2026-24233
NVD 于 2026-07-14 发布了一组 TensorRT-LLM CVE,涵盖模型权重加载中的不安全反序列化、进程间通信、张量反序列化,以及允许对内部集群状态进行未经身份验证的读/写/删除的分布式编排器组件。
TensorRT-LLM 是 NVIDIA 的旗舰高性能 LLM 推理栈,广泛用于 GPU 支持的生产 AI 服务;其中的反序列化和编排器状态漏洞威胁生产模型服务集群的机密性、完整性和可用性。
本地未经身份验证的攻击者可以通过用于模型权重加载的受限反序列化器触发不受信任数据的反序列化,可能导致代码执行、权限提升或 DoS;相关 CVE 涵盖 IPC 层反序列化、张量反序列化堆溢出,以及通过分布式编排器 FastAPI 服务器对内部集群状态的未经身份验证的读/写/删除。
NVIDIA TensorRT-LLM for Linux(受限反序列化器/模型权重反序列化);相关 CVE-2026-47472(IPC 层)、CVE-2026-47471(张量反序列化堆溢出)、CVE-2026-47473(写入任意内存)、CVE-2026-24229(分布式编排器 FastAPI 服务器)
根据从 NVD 条目引用的 NVIDIA 安全公告应用 NVIDIA 的 TensorRT-LLM 安全更新;限制对 TRTLLM 服务器和分布式编排器端点的本地/同用户访问。
NVD - CVE-2026-24233
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →