NVIDIA Triton Inference ServerにCVSS 9.8の認証回避 脆弱性(CVE-2026-24207)

セキュリティニュース

投稿日時: 更新日時:

NVIDIA Triton Inference ServerにCVSS 9.8の認証回避 脆弱性(CVE-2026-24207)

NVIDIAは、NVIDIA Triton Inference Serverに関するセキュリティアップデートを公開しました。今回の更新では、CVSS 9.8のCriticalな脆弱性であるCVE-2026-24207を含む複数の脆弱性が修正されています。NVIDIAは、Triton Server r26.03以降へ更新するよう案内しています。

サマリー

  • NVIDIA Triton Inference Serverに複数の脆弱性が公開されました。
  • 最も深刻なCVE-2026-24207は、CVSS 9.8の認証回避脆弱性です。
  • 悪用された場合、コード実行、権限昇格、データ改ざん、サービス拒否、情報漏えいにつながる可能性があります。
  • 影響を受けるのは、Linux環境のTriton Inference ServerおよびTriton Inference Server DALI Backendのr26.03より前の全バージョンです。
  • NVIDIAは、Triton Server r26.03以降への更新を案内しています。
  • AI推論APIをインターネットや社内横断ネットワークに公開している環境では、アクセス制御、ログ確認、Kubernetes設定、MLOpsパイプラインを優先的に確認する必要があります。

概要

NVIDIAは2026年5月19日、Triton Inference Serverに関するセキュリティ情報を公開しました。同社は、対象システムを保護するため、NVIDIA Triton Inference ServerのGitHubリポジトリからTriton Server r26.03以降へ更新するよう案内しています。

修正された主な脆弱性

CVE CVSS 深刻度 影響 概要
CVE-2026-24207 9.8 Critical コード実行、権限昇格、データ改ざん、DoS、情報漏えい 認証回避
CVE-2026-24213 8.0 High コード実行、データ改ざん、DoS、情報漏えい DALI Backendの境界外読み取り
CVE-2026-24214 8.0 High コード実行、データ改ざん、DoS DALI Backendの整数オーバーフロー
CVE-2026-24209 7.5 High DoS パストラバーサル
CVE-2026-24210 7.5 High DoS 整数オーバーフロー
CVE-2026-24206 7.3 High 権限昇格、DoS、情報漏えい 認証回避
CVE-2026-24215 5.7 Medium DoS DALI Backendの制御不能なリソース消費
CVE-2026-24208 5.3 Medium DoS パストラバーサル

NVIDIAのセキュリティ情報では、これらの脆弱性の影響を受ける製品として、Linux上のTriton Inference ServerおよびTriton Inference Server DALI Backendが示されています。影響を受けるバージョンはr26.03より前の全バージョンで、更新版はr26.03です。

特に注意すべき脆弱性 CVE-2026-24207

CVE-2026-24207は、認証回避に分類されるCritical脆弱性です。

NVIDIAは、この脆弱性を悪用した場合、コード実行、権限昇格、データ改ざん、サービス拒否、情報漏えいにつながる可能性があると説明しています。CWEはCWE-288、Authentication Bypass Using an Alternate Path or Channelです。

CVSSベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。これは、ネットワーク経由で攻撃可能、攻撃条件が低い、攻撃者に事前権限が不要、ユーザー操作も不要、機密性・完全性・可用性への影響が高いことを示します。

Tritonが外部や社内ネットワークから到達可能な推論APIとして動作している場合、認証回避は非常に危険です。推論APIは、モデルへの入力データ、モデル出力、モデル管理API、GPUリソース、モデルリポジトリと近い位置にあるため、悪用された場合の影響範囲が広がりやすくなります。

参考情報・出典

NVIDIA:Security Bulletin: NVIDIA Triton Inference Server – May 2026