NVIDIA Container Toolkit容器逃逸漏洞公告（CVE-2025-23266、CVE-2025-23267）

漏洞详情

漏洞影响

在NVIDIA Container Toolkit v1.17.7及更早版本的环境中，攻击者通过运行一个恶意镜像，可能实现容器逃逸，从而获得主机系统的访问权限。成功利用此漏洞可能会导致权限提升、数据篡改、信息泄露和拒绝服务。

判断方法

1. 如果集群未安装CCE AI套件（NVIDIA GPU）插件或插件版本低于2.0.0，则不涉及该漏洞。

   

   

   CCE AI套件（NVIDIA GPU）插件老版本命名为：gpu-beta、gpu-device-plugin。

2. 如果CCE AI套件（NVIDIA GPU）插件版本在2.0.0 - 2.2.1及2.5.0 - 2.8.1范围内，请登录GPU节点执行以下命令：

   nvidia-container-runtime --version

   • 若显示无此命令，则不涉及该漏洞。
   • 若显示nvidia-container-runtime版本低于1.17.8，则涉及该漏洞。

     

漏洞修复方案

在完成漏洞修复前，避免在集群中运行不可信的容器镜像。

CCE已发布新版本插件修复该漏洞，请将插件升级至已修复版本，详情请参见CCE AI套件（NVIDIA GPU）版本发布记录。

相关链接

NVIDIA Container Toolkit安全公告：https://nvidia.custhelp.com/app/answers/detail/a_id/5659