Investigadores de NVIDIA han detectado dos vulnerabilidades graves de deserialización en componentes del framework Merlin para Linux, que podrían permitir la ejecución remota de código arbitrario y ataques de denegación de servicio. Afectan los módulos Workflow de NVTabular y Trainer de Transformers4Rec, con vectores de ataque que requieren bajo nivel de complejidad y mínima interacción de usuario, poniendo en riesgo entornos empresariales. Se recomienda la aplicación inmediata de los parches publicados para mitigar los impactos críticos en confidencialidad, integridad y disponibilidad.
CVE y severidad
| CVE ID | Descripción | CVSS Base Score | CWE | Métrica Vectorial |
|---|---|---|---|---|
| CVE-2025-33214 | Vulnerabilidad de deserialización en componente Workflow de NVIDIA NVTabular para Linux. | 8.8 | CWE-502 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVE-2025-33213 | Vulnerabilidad de deserialización en componente Trainer de NVIDIA Merlin Transformers4Rec para Linux. | 8.8 | CWE-502 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Productos afectados
| Fabricante | Producto | Componente | Plataformas/SO |
|---|---|---|---|
| NVIDIA | NVTabular | Workflow | Linux |
| NVIDIA | Merlin Transformers4Rec | Trainer | Linux |
Solución
Actualizar NVTabular a partir del commit 5dd11f4 y Transformers4Rec a partir del commit 876f19e, disponibles en los repositorios oficiales de NVIDIA en GitHub.
Recomendaciones
Priorizar la actualización inmediata de las instalaciones afectadas para evitar explotación; validar la correcta aplicación de los parches mediante pruebas funcionales posteriores. Linux: restringir acceso a interfaces administrativas y monitorear actividad anómala en redes donde se despliegan estos productos.