offseckit/CVE-2026-24207
GitHub: offseckit/CVE-2026-24207
针对 NVIDIA Triton Inference Server 身份验证绕过至未授权 RCE 漏洞(CVE-2026-24207)的检测、绕过演示与完整利用链 PoC 工具包。
Stars: 0 | Forks: 0
# CVE-2026-24207 — NVIDIA Triton SageMaker 身份验证绕过至未授权 RCE
- **CVE:** [CVE-2026-24207](https://nvd.nist.gov/vuln/detail/CVE-2026-24207) (SageMaker — PoC + RCE 链) · [CVE-2026-24206](https://nvd.nist.gov/vuln/detail/CVE-2026-24206) (Vertex AI — 结构相同的同级漏洞,仅作分析)
- **CWE-288** · **CVSS 9.8 (NIST) / 7.3 (NVIDIA CNA)**
- **厂商:** NVIDIA Corporation · **产品:** Triton Inference Server
- **分析文章:** [offseckit.com/blog/cve-2026-24207](https://offseckit.com/blog/cve-2026-24207)
## 受影响版本
| 组件 | 受影响 | 已修复 |
|--------------------------------|-------------------|-----------------|
| NVIDIA Triton Inference Server | ≤ 26.02 (v2.66.0) | 26.03 (v2.67.0) |
## 快速开始
### 检查设备是否已修补(防御者)
```
python3 detect.py
```
发送一个只读 GET 请求。输出 `PATCHED`、`VULNERABLE` 或 `UNKNOWN`。
不会对系统造成任何更改。
### 理解绕过机制(研究人员)
```
python3 bypass_demo.py
```
发送三个探测请求 —— 健康检查(始终成功)、带有配置授权 header 的
`/models`(已授权基准),以及不带
该 header 的 `/models`(绕过攻击)。并排对比的响应码可以展示出
行为差异。不会导致状态改变。详见
[`docs/root-cause.md`](docs/root-cause.md)。
### 演示影响(仅限授权测试)
```
# 探测模型管理面 (enumerate + LOAD attempt + UNLOAD attempt)
python3 exploit.py
# 完整 RCE 链 — 让 Triton 指向其文件系统上由你控制的路径
python3 exploit.py --mode rce \
--url /opt/ml/models/ \
--name chaindemo
```
`--mode rce` 流程会从用户提供的路径加载一个 Python backend model。
如果该目录包含有效的 `config.pbtxt`
+ `model.py`(有关无害演示,请参见 [`example/`](example/)),
`model.py` 将以 Triton 进程用户的身份执行 —— 发生在认证之前。
有关 RCE 链的机制
和前提条件,请参见 [`docs/rce-chain.md`](docs/rce-chain.md)。
## 文件
| 文件 | 用途 |
|-----------------------------------|--------------------------------------------------|
| `detect.py` | 非破坏性的补丁状态检查 |
| `bypass_demo.py` | 用于科普绕过机制原理的并排对比演示 |
| `exploit.py` | 模型管理探测 + RCE 链演示 |
| `example/` | 用于 RCE 演示的无害 Python backend model |
| `detection/triton-access.md` | 检测指南(版本指纹 + 日志特征) |
| `detection/suricata.rules` | 网络 IDS 规则 |
| `docs/root-cause.md` | 简短的根本原因分析 |
| `docs/patch-diff.md` | 通过一个 diff 查看修复方案 |
| `docs/rce-chain.md` | 通过 Python backend 实现的未授权 RCE 链 |
## 环境要求
Python 3.8+ 及 `requests`:
```
pip install requests
```
## 致谢
独立的补丁后分析和 PoC 由 **4252nez** 完成 —— 文章发布于
[OffSecKit](https://offseckit.com/blog/cve-2026-24207)。
原始漏洞由 Hyeonjun Ahn (@deayzl) 报告,并在 NVIDIA 的 2026 年 5 月安全公告中获得致谢;本仓库
与该报告没有任何关联。
## 许可证
MIT — 详见 [LICENSE](LICENSE)。
标签:CISA项目, Metaprompt, PoC, Python, 入侵检测规则, 无后门, 暴力破解, 权限绕过, 编程工具, 远程代码执行, 逆向工具