一、 漏洞 CVE-2022-42268 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Omniverse Kit包含参考应用程序Create、Audio2Face、Isaac Sim、View、Code和 Machinima中的一个漏洞。这些应用程序允许将可执行的Python代码嵌入到通用场景描述(USD)文件中,以自定义场景的各个方面。如果用户在这些应用程序中打开一个包含嵌入Python代码的USD文件,则嵌入的Python代码自动运行打开文件的用户的所有权限。因此,无特权的远程攻击者可以制作包含恶意Python代码的USD文件,并说服本地用户打开文件,这可能导致信息泄露、数据篡改和拒绝服务。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Omniverse Kit contains a vulnerability in the reference applications Create, Audio2Face, Isaac Sim, View, Code, and Machinima. These applications allow executable Python code to be embedded in Universal Scene Description (USD) files to customize all aspects of a scene. If a user opens a USD file that contains embedded Python code in one of these applications, the embedded Python code automatically runs with the privileges of the user who opened the file. As a result, an unprivileged remote attacker could craft a USD file containing malicious Python code and persuade a local user to open the file, which may lead to information disclosure, data tampering, and denial of service.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
NVIDIA Omniverse Kit 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
NVIDIA Omniverse Kit是美国英伟达(NVIDIA)公司的一个强大的工具包。供开发人员为其生态系统构建自己的应用程序、微服务或插件。 NVIDIA Omniverse Kit 存在安全漏洞。攻击者利用该漏洞制作包含恶意Python代码的USD文件,并说服本地用户打开该文件,从而导致信息泄露、数据篡改和拒绝服务。以下产品及版本受到影响:Omniverse Audio2Face 2022.2之前版本、Omniverse Create 2022.3之前版本、NVIDIA Isaac Sim 20
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-42268 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-42268 的情报信息