CVSS: 8.2EPSS: 0%CPEs: 2EXPL: 0CVE-2022-31599
https://notcve.org/view.php?id=CVE-2022-31599
NVIDIA DGX A100 contains a vulnerability in SBIOS in the Ofbd, where a local user with elevated privileges can cause access to an uninitialized pointer, which may lead to code execution, escalation of privileges, denial of service, and information disclosure. The scope of impact can extend to other components. NVIDIA DGX A100 contiene una vulnerabilidad en SBIOS en el Ofbd, donde un usuario local con altos privilegios puede causar el acceso a un puntero no inicializado, lo que puede conllevar a una ejecución de código, escalada de privilegios, denegación de servicio y divulgación de información. El alcance del impacto puede extenderse a otros componentes • https://nvidia.custhelp.com/app/answers/detail/a_id/5367 • CWE-824: Access of Uninitialized Pointer •
CVSS: 8.2EPSS: 0%CPEs: 2EXPL: 0CVE-2022-28200
https://notcve.org/view.php?id=CVE-2022-28200
NVIDIA DGX A100 contains a vulnerability in SBIOS in the BiosCfgTool, where a local user with elevated privileges can read and write beyond intended bounds in SMRAM, which may lead to code execution, escalation of privileges, denial of service, and information disclosure. The scope of impact can extend to other components. NVIDIA DGX A100 contiene una vulnerabilidad en SBIOS en la BiosCfgTool, donde un usuario local con altos privilegios puede leer y escribir más allá de los límites previstos en la SMRAM, lo que puede conllevar a una ejecución de código, una escalada de privilegios, la denegación de servicio y una divulgación de información. El alcance del impacto puede extenderse a otros componentes • https://nvidia.custhelp.com/app/answers/detail/a_id/5367 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-31605
https://notcve.org/view.php?id=CVE-2022-31605
NVFLARE, versions prior to 2.1.2, contains a vulnerability in its utils module, where YAML files are loaded via yaml.load() instead of yaml.safe_load(). The deserialization of Untrusted Data, may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity. NVFLARE, versiones anteriores a 2.1.2, contiene una vulnerabilidad en su módulo utils, donde los archivos YAML son cargados por medio de yaml.load() en lugar de yaml.safe_load(). La deserialización de datos no confiables, puede permitir a un atacante no privilegiado en la red causar Ejecución de Código Remota, Denegación de Servicio, e Impacto a la Confidencialidad e Integridad • https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-hrf3-622q-8366 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-31604
https://notcve.org/view.php?id=CVE-2022-31604
NVFLARE, versions prior to 2.1.2, contains a vulnerability in its PKI implementation module, where The CA credentials are transported via pickle and no safe deserialization. The deserialization of Untrusted Data may allow an unprivileged network attacker to cause Remote Code Execution, Denial Of Service, and Impact to both Confidentiality and Integrity. NVFLARE, versiones anteriores a 2.1.2, contiene una vulnerabilidad en su módulo de implementación de PKI, donde las credenciales de la CA son transportadas por medio de pickle y sin deserialización segura. La deserialización de datos no confiables puede permitir a un atacante de red no privilegiado causar Ejecución de Código Remota, Denegación de Servicio, e impacto tanto en la Confidencialidad como en la Integridad • https://github.com/NVIDIA/NVFlare/security/advisories/GHSA-rcxc-3w2m-mp8h • CWE-502: Deserialization of Untrusted Data •
CVSS: 4.1EPSS: 0%CPEs: 3EXPL: 0CVE-2022-28192
https://notcve.org/view.php?id=CVE-2022-28192
NVIDIA vGPU software contains a vulnerability in the Virtual GPU Manager (nvidia.ko), where it may lead to a use-after-free, which in turn may cause denial of service. This attack is complex to carry out because the attacker needs to have control over freeing some host side resources out of sequence, which requires elevated privileges. El software NVIDIA vGPU contiene una vulnerabilidad en el Administrador de la GPU Virtual (nvidia.ko), que puede conllevar a un uso de memoria previamente liberada, que a su vez puede causar una denegación de servicio. Este ataque es complejo de llevar a cabo porque el atacante necesita tener control sobre la liberación de algunos recursos del lado del host fuera de secuencia, lo que requiere altos privilegios • https://nvidia.custhelp.com/app/answers/detail/a_id/5353 • CWE-416: Use After Free •