ExecuTorch堆缓冲区溢出漏洞分析与修复方案

本文详细分析了ExecuTorch框架中存在的堆缓冲区溢出漏洞(CVE-2025-30402)，该漏洞可能导至运行时崩溃甚至代码执行，影响版本包括0.6.0及之前的所有版本，已在新版本0.7.0中修复。

ExecuTorch堆缓冲区溢出漏洞分析

漏洞概述

CVE-2025-30402是一个存在于ExecuTorch框架中的堆缓冲区溢出漏洞，该漏洞在加载ExecuTorch方法时可能引发运行时崩溃，并有可能导至代码执行或其他不良后果。

受影响版本

Python包 (pip)

受影响版本：<= 0.6.0
修复版本：0.7.0

Swift包

受影响版本：<= 0.6.0
修复版本：0.7.0-rc1

Maven包

受影响版本：<= 0.6.0
修复版本：0.7.0-rc1

技术细节

漏洞类型

弱点类型：CWE-122 堆基缓冲区溢出
严重程度：高危（CVSS评分8.1）

CVSS v3基础指标

攻击向量：网络
攻击复杂度：低
所需权限：无
用户交互：需要
范围：未改变
机密性影响：高
完整性影响：无
可用性影响：高

漏洞描述

该漏洞是一个堆缓冲区溢出漏洞，当加载ExecuTorch方法时可能发生，可能造成运行时崩溃，并可能导至代码执行或其他不良影响。此问题影响在提交93b1a0c15f7eda49b2bc46b5b4c49557b4e9810f之前的ExecuTorch版本。

修复方案

用户应升级到以下修复版本：

Python包：升级至0.7.0版本
Swift包：升级至0.7.0-rc1版本
Maven包：升级至0.7.0-rc1版本

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-30402
pytorch/executorch@93b1a0c
https://www.facebook.com/security/advisories/cve-2025-30402

安全建议

建议所有使用受影响版本的用户立即升级到修复版本，以避免潜在的安全风险。

comments powered by Disqus