Investigadores de seguridad han revelado una cadena de vulnerabilidades de alta gravedad que podrían provocar la ejecución remota de código (RCE) en el Servidor de Inferencia Triton de Nvidia.

Wiz Research afirmó que si las tres vulnerabilidades descubiertas e informadas a Nvidia se explotan con éxito, las posibles consecuencias podrían incluir el robo de modelos de IA, la filtración de datos confidenciales, la manipulación de las respuestas de los modelos de IA o la intrusión de atacantes en otras áreas de la red.

Nvidia ha corregido los errores que afectan al Servidor de Inferencia Triton, una plataforma de código abierto para ejecutar modelos de IA y ofrecerlos a aplicaciones de usuario. El Servidor de Inferencia Triton fue diseñado por Nvidia para ejecutar modelos desde cualquier framework de IA principal, y lo hace utilizando diferentes backends, cada uno dedicado a un framework específico.

Sin embargo, el backend Python de Triton es utilizado por otros frameworks además de Python, lo que lo convierte en uno de los backends más versátiles que admite el servidor.

Esta mayor dependencia de Python implica que cualquier vulnerabilidad de seguridad detectada podría aumentar significativamente el número de organizaciones afectadas.

La primera vulnerabilidad (CVE-2025-23320 – 7.5) se relaciona con un error en el backend Python, que se activa al superar el límite de memoria compartida mediante una solicitud muy grande. Esto genera un mensaje de error que revela el nombre único (clave) de la región de memoria compartida IPC interna del backend.

Usando el nuevo nombre único de la región de memoria, los atacantes pueden combinarlo con la API pública de memoria compartida para tomar el control de un servidor de inferencia Triton.

Un atacante puede aprovechar la deficiente validación de esta API para explotar errores de escritura y lectura fuera de los límites: CVE-2025-23319 (8.1) y CVE-2025-23334 (5.9), respectivamente.

Dado que la API no comprueba si la clave proporcionada por el atacante (el nombre único de la memoria compartida) corresponde a una región legítima propiedad del usuario o a una interna privada, Triton aceptará la solicitud de registro del atacante, lo que le permitirá leer y escribir en esa región.

Con la capacidad de manipular la memoria compartida del backend, los atacantes pueden obtener el control total del servidor.

Wiz no especificó si la cadena de errores se había explotado in situ, y añadió que se abstendría de publicar más detalles por el momento.

«Esta investigación demuestra cómo una serie de fallos aparentemente menores pueden encadenarse para crear un exploit significativo», declaró el equipo responsable de los hallazgos. Un mensaje de error extenso en un solo componente y una función que puede usarse indebidamente en el servidor principal fueron suficientes para crear una ruta de acceso a un posible compromiso del sistema.

A medida que las empresas implementan IA y ML de forma más amplia, la seguridad de la infraestructura subyacente es fundamental. Este descubrimiento resalta la importancia de la defensa en profundidad, donde la seguridad se considera en cada capa de una aplicación.

Nvidia confirmó que las tres fallas de seguridad fueron corregidas en la versión 25.07, lanzada el 4 de agosto, y que todas las versiones anteriores son vulnerables.

El equipo de Wiz declaró: «Queremos agradecer al equipo de seguridad de Nvidia su excelente colaboración y rápida respuesta.

Recomendamos encarecidamente a todos los usuarios de Triton Inference Server que actualicen a la última versión».

Triton ha sido utilizado durante varios años por organizaciones de diversos tamaños, aunque Nvidia lanzó Dynamo a principios de este año, que se posiciona como el sucesor de Triton.