ExecuTorch堆缓冲区溢出漏洞·CVE-2025-54949
漏洞详情
严重程度: 严重 CVSS评分: 9.8/10
受影响包及版本
| 包管理器 | 包名 | 受影响版本 | 修复版本 |
|---|---|---|---|
| pip | executorch | < 0.7.0 | 0.7.0 |
| Swift | executorch | < 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android | < 0.7.0 | 0.7.0 |
漏洞描述
ExecuTorch在加载模型时存在堆缓冲区溢出漏洞,可能导致代码执行或其他不良后果。此漏洞影响ExecuTorch在提交ede82493dae6d2d43f8c424e7be4721abe5242be之前的所有版本。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-54949
- pytorch/executorch@ede8249
- https://www.facebook.com/security/advisories/cve-2025-54949
技术细节
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱点分类
CWE-122: 基于堆的缓冲区溢出 堆溢出条件是一种缓冲区溢出,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着该缓冲区是使用malloc()等例程分配的。
其他信息
- EPSS评分: 0.116%(第31百分位)
- GHSA ID: GHSA-9m39-3mf3-xwch
- 源代码仓库: pytorch/executorch
发布时间: 2025年8月8日 最后更新: 2025年10月6日 审核时间: 2025年8月12日