Una serie de vulnerabilidades críticas descubiertas en NVIDIA Triton Inference Server —la plataforma open source de inferencia de modelos de IA de la compañía— ha encendido las alarmas en el sector de la ciberseguridad. Investigadores de la firma Wiz han revelado que, si se encadenan correctamente, estas fallas podrían permitir a atacantes remotos no autenticados ejecutar código arbitrario y tomar el control total de servidores afectados, tanto en entornos Windows como Linux.
Los fallos, que afectan específicamente al backend de Python del servidor, han sido catalogados con las siguientes identificaciones y puntuaciones CVSS:
- CVE-2025-23319 (8.1): Escritura fuera de límites que puede derivar en ejecución remota de código.
- CVE-2025-23320 (7.5): Desbordamiento del límite de memoria compartida mediante una petición excesivamente grande.
- CVE-2025-23334 (5.9): Lectura fuera de límites provocada por una petición maliciosa.
La gravedad del hallazgo radica en la posibilidad de combinar estas tres vulnerabilidades. El ataque descrito por Wiz permite al atacante filtrar el nombre completo del espacio de memoria compartida interno de Triton, una información que debería permanecer confidencial. Con ese dato en mano, se pueden explotar las otras fallas para comprometer completamente el servidor de inferencia sin necesidad de credenciales.
Impacto: desde fuga de datos hasta manipulación de modelos de IA
Según los investigadores Ronen Shustin y Nir Ohfeld, las consecuencias de un ataque exitoso serían devastadoras para cualquier organización que utilice Triton en sus sistemas de IA/ML:
- Robo de modelos de IA valiosos.
- Exposición de datos sensibles utilizados durante la inferencia.
- Manipulación de resultados generados por el modelo.
- Persistencia del atacante y movimiento lateral en la red corporativa.
El backend afectado es compatible con marcos populares de aprendizaje automático como PyTorch y TensorFlow, lo que amplía el alcance del problema en entornos de producción.
Solución: parche urgente
NVIDIA ha publicado la versión 25.07 de Triton, que corrige no solo estas tres vulnerabilidades, sino también otros tres fallos críticos (CVE-2025-23310, CVE-2025-23311 y CVE-2025-23317), todos ellos capaces de causar denegación de servicio, ejecución de código, fuga de información o manipulación de datos.
Hasta la fecha, no hay evidencia de que estos fallos se estén explotando activamente, pero desde la comunidad de seguridad se insiste en que los administradores de sistemas apliquen inmediatamente las actualizaciones para evitar posibles intrusiones.
En un momento en que la infraestructura de IA se vuelve estratégica para empresas y gobiernos, casos como el de Triton ponen de relieve la importancia de revisar exhaustivamente no solo los modelos, sino también las capas intermedias y los entornos que los soportan.
