ExecuTorch堆缓冲区溢出漏洞分析
漏洞概述
ExecuTorch框架在加载方法时存在堆缓冲区溢出漏洞,可能导致运行时崩溃,并可能造成代码执行或其他不良影响。
受影响版本
Python包 (pip)
- 受影响版本:<= 0.6.0
- 修复版本:0.7.0
Swift包
- 受影响版本:<= 0.6.0
- 修复版本:0.7.0-rc1
Maven包 (Android)
- 受影响版本:<= 0.6.0
- 修复版本:0.7.0-rc1
技术细节
该漏洞影响ExecuTorch在提交93b1a0c15f7eda49b2bc46b5b4c49557b4e9810f之前的所有版本。
安全评级
严重程度:高
- CVSS评分:8.1/10
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:无
- 可用性影响:高
弱点分类
CWE-122:堆缓冲区溢出 堆溢出条件是一种缓冲区溢出,其中可被覆盖的缓冲区在内存的堆部分分配,通常意味着该缓冲区是使用malloc()等例程分配的。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-30402
- pytorch/executorch@93b1a0c
- https://www.facebook.com/security/advisories/cve-2025-30402
漏洞标识
- CVE ID: CVE-2025-30402
- GHSA ID: GHSA-h952-963h-rv99
致谢
该漏洞由Fidget-Grep分析师发现并报告。