NVIDIA SNAP-4 Container存在缓冲区溢出漏洞(CVE-2025-33216)

01 漏洞概况

NVIDIA SNAP-4 容器在配置界面中存在一个漏洞，虚拟机上的攻击者可能通过发送精心构造的配置导致缓冲区大小计算错误。成功利用此漏洞可能导致 SNAP 服务崩溃，从而造成存储服务对主机拒绝服务。

02 漏洞处置

综合处置优先级：高

漏洞信息	漏洞名称	NVIDIA SNAP-4 Container存在缓冲区溢出漏洞
漏洞编号	CVE编号	CVE-2025-33216‍
漏洞评估	披露时间	2026-03-24
	漏洞类型	不正确的缓冲区大小计算
	危害评级	Medium（中等）
	公开程度	无公开PoC
	威胁类型	拒绝服务
利用情报	在野利用	无
影响产品	产品名称	NVIDIA SNAP-4 Container（运行在 BlueField 平台上的存储加速容器）
	受影响版本	SNAP-4 Container 的所有版本 prior to SNAP-4.9.0 和 prior to SNAP-4.5.5（部分公告提及 prior to SNAP-4.9.1 / SNAP-4.5.5，修复版本包含 SNAP-4.9.0 / SNAP-4.9.1 / SNAP-4.5.5）
	影响范围	适用于允许 Guest VM / 攻击者访问 SNAP-4 配置接口的虚拟化环境，成功利用可导致 SNAP 服务崩溃并影响主机存储服务可用性
	有无修复补丁	有。NVIDIA 已发布修复版本

03 漏洞排查

• 检查当前运行的 SNAP-4 Container 版本（通过 NVIDIA 管理工具、容器日志、BlueField 平台查询或 NGC Catalog）。
• 审查配置日志和 SNAP 服务日志，查找与缓冲区、配置处理相关的异常或崩溃记录。
• 测试环境中从 Guest VM 发送构造配置，观察是否导致 SNAP 服务崩溃或存储不可用。
• 使用漏洞扫描工具针对 NVIDIA SNAP-4 相关 CVE 进行检测，并确认是否运行在受影响的 BlueField 平台上。

04 修复方案

• 推荐
  ：立即升级 SNAP-4 Container 到 SNAP-4.9.0 / SNAP-4.9.1 或 SNAP-4.5.5（或更高版本）。下载地址参考 NVIDIA NGC Catalog 或官方 DOCA 下载页面。
• 临时缓解
  ：加强虚拟机隔离，限制 Guest VM 对 SNAP-4 配置接口的访问权限；监控 SNAP 服务状态和存储可用性指标。
• 升级后验证存储服务正常运行，并监控日志以确保漏洞已修复。

05 时间线

• 2026 年 3 月 24 日：CVE 分配并公开，NVIDIA 发布安全公告（Bulletin，a_id/5744），NVD、GitHub Advisory 等平台同步更新。
• 2026 年 3 月 25 日：多家平台（如 OffSec Radar、TheHackerWire、Vulmon、Tenable）更新详情。
• 2026 年 3 月 26 日：安迈信科运营团队发布通告。