ExecuTorch堆缓冲区溢出漏洞(CVE-2025-54949)
漏洞详情
漏洞描述
在加载ExecuTorch模型时存在的堆缓冲区溢出漏洞,可能导致代码执行或其他不良后果。此问题影响提交记录ede82493dae6d2d43f8c424e7be4721abe5242be之前的ExecuTorch版本。
受影响组件及版本
| 包管理器 | 包名称 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| pip | executorch | < 0.7.0 | 0.7.0 |
| Swift | executorch | < 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android | < 0.7.0 | 0.7.0 |
安全评级
严重程度:严重
CVSS综合评分:9.8/10
CVSS v3基础指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 权限要求(PR): 无(N)
- 用户交互(UI): 无(N)
- 影响范围(S): 未改变(U)
- 机密性影响(C): 高(H)
- 完整性影响(I): 高(H)
- 可用性影响(A): 高(H)
CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS评分
0.15%(第36百分位) 该评分预测了此漏洞在未来30天内被利用的概率。
技术细节
弱点分类
CWE-122:基于堆的缓冲区溢出
堆溢出条件是一种缓冲区溢出,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着缓冲区是使用类似malloc()的例程分配的。
参考信息
官方资源
- NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-54949
- 修复提交记录: pytorch/executorch@ede8249
- Facebook安全公告: https://www.facebook.com/security/advisories/cve-2025-54949
漏洞标识符
- CVE ID: CVE-2025-54949
- GHSA ID: GHSA-9m39-3mf3-xwch
源代码仓库
- 项目地址: pytorch/executorch
时间线
- NVD发布: 2025年8月7日
- GitHub咨询数据库发布: 2025年8月8日
- 审查完成: 2025年8月12日
- 最后更新: 2025年10月6日
贡献者
分析师: Fidget-Grep
行动建议
- 立即升级所有受影响组件至0.7.0或更高版本
- 审查依赖项以确保没有使用易受攻击的版本
- 监控系统日志以检测潜在的利用尝试
- 实施适当的输入验证和边界检查机制
注意:该漏洞已被GitHub审查并确认为严重级别,建议所有使用ExecuTorch框架的开发者和组织立即采取修复措施。