Sicherheitslücken in Nvidia AIStore: Wichtiges Update empfohlen

Fehler in der Authentifizierung ZDI macht zwei Zero Days in Nvidias AIStore publik

02.12.2025 Von Melanie Staudacher 2 min Lesedauer

Anbieter zum Thema

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

Zwei Sicherheitslücken in AIStore von Nvidia können die Authentifizierung aushebeln. Hinsichtlich der Schwere der Schwachstellen sind sich die Sicherheitsforscher und der Hersteller uneins, dennoch sollte die neueste Version des Speichersystems zeitnah installiert werden.

Die Sicherheitslücken in Nvidia AIStore ermöglichen ohne Anmeldung das Umgehen der Authentifizierung und können zur Offenlegung von Nutzerdaten, Rechteausweitung und Manipulation von Daten führen.(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert) — Die Sicherheitslücken in Nvidia AIStore ermöglichen ohne Anmeldung das Umgehen der Authentifizierung und können zur Offenlegung von Nutzerdaten, Rechteausweitung und Manipulation von Daten führen.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Die Zero Day Initiative (ZDI) von Trend Micro hat zwei Sicherheitslücken an Nvidia gemeldet, die AIStore betreffen. Dieser ist ein verteiltes Objektspeichersystem, das speziell für AI‑ und ML‑Workloads entwickelt wurde, um große Trainings‑ und Inferenzdatensätze skalierbar und performant zu speichern. Bei den Zero-Day-Schwachstellen, die die ZDI entdeckt hat, handelt es sich um Fehler im Authentifizierungsprozess.

Eine Sicherheitslücke in der Nvidia App unter Windows kann es Angreifern ermöglichen, ihre Systemrechte auszuweiten. Administratoren sollten umgehend auf Version 11.0.5.245 aktualisieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Festcodierte und offengelegte Anmeldeinformationen

Bei dem von der ZDI gemeldeten Sicherheitslücken handelt es sich um CVE-2025-33185 und CVE-2025-33186. Während die ZDI CVE-2025-33185 mit einem CVSS-Score von 7.5 und CVE2025-33186 mit einem CVSS-Score von 9.8 einstuft, vergibt Nvidia selbst, die die Schwachstellen als zuständige CNA (CVE Numbering Authority) an die National Vulnerability Database sowie CVE-Datenbank der Mitre Corporation gemeldet hat, die Base-Scores 5.3 sowie 8.8.

Die Informationen von Nvidia zu den Schwachstellen, die im August von der ZDI entdeckt und im November an den Hersteller gemeldet wurden, sind jedoch knapp. Zu CVE-2025-33185 heißt es, dass Nvidia AIStore eine Schwachstelle in der Authentifizierung aufweist, durch die ein nicht authentifizierter Benutzer Informationen offenlegen kann. Ähnlich verhält es sich mit CVE2025-33186. Eine erfolgreiche Ausnutzung dieser Sicherheitslücke kann zu einer Rechteausweitung sowie Offenlegung von Informationen und Datenmanipulation führen. Die Zero Day Initiative liefert zumindest ein paar ergänzende Details: So befinde sich der Fehler hinter CVE2025-33185 direkt auf dem Endgerät des Users. Der Bug in der Authentifizierung sorge dafür, dass ein Cyberangreifer gespeicherte Nutzernamen offenlegen und das System weiter kompromittieren könne. Auch für die Ausnutzung von CVE-2025-33186 ist laut ZDI keine Authentifizierung vorab erforderlich, denn Angreifer könnten die Authentifizierung umgehen. Die Ursache dieser Schwachstelle liege in der Verwendung fest codierter Anmeldeinformationen.

Betroffen von den Zero-Day-Schwachstellen sind alle Versionen von Nvidia AIStore vor 3.31. Nutzer sollten – unabhängig von den unterschiedlichen CVSS-Scores – ihr eigenes Risiko abschätzen und dahingehend das Installieren der neusten Version 3.31, die die Sicherheitsupdates enthält, priorisieren.

Seit 20 Jahren suchen die Forscherinnen und Forscher der Zero Day Initiative nach Zero-Day-Sicherheitlsücken, um das Internet sicherer vor Cyberangreifern zu machen – ein Meilenstein zu dem wir gerne gratulieren! (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

(ID:50636959)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.