ExecuTorch vulnerable to Heap-based Buffer Overflow · CVE-2025-54951
漏洞详情
严重程度:严重
CVSS评分:9.8/10
受影响版本
| 包管理器 | 包名称 | 受影响版本 | 修复版本 |
|---|---|---|---|
| pip | executorch | < 0.7.0 | 0.7.0 |
| Swift | executorch | < 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android | < 0.7.0 | 0.7.0 |
漏洞描述
一组相关的缓冲区溢出漏洞存在于ExecuTorch模型加载过程中,可能导致运行时崩溃,并可能造成代码执行或其他不良影响。此问题影响提交记录cea9b23aa8ff78aff92829a466da97461cc7930c之前的ExecuTorch版本。
参考资料
- https://nvd.nist.gov/vuln/detail/CVE-2025-54951
- pytorch/executorch@cea9b23
- https://www.facebook.com/security/advisories/cve-2025-54951
时间线
- 国家漏洞数据库发布:2025年8月7日
- GitHub咨询数据库发布:2025年8月8日
- 审核时间:2025年8月12日
- 最后更新:2025年10月6日
严重性评估
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS评分
0.116%(第31百分位)
弱点分类
CWE-122:堆基缓冲区溢出
堆溢出条件是一种缓冲区溢出,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着该缓冲区是使用malloc()等例程分配的。
标识符
- CVE ID: CVE-2025-54951
- GHSA ID: GHSA-xc7w-r669-48pf
源代码
pytorch/executorch
致谢
Fidget-Grep - 分析师