ExecuTorch存在堆缓冲区溢出漏洞,威胁AI模型安全部署

本文披露了PyTorch的推理框架ExecuTorch中一个高危的堆缓冲区溢出漏洞(CVE-2025-30402),该漏洞在加载模型方法时可导致运行时崩溃,并可能引发代码执行或其他严重后果,主要影响0.6.0及之前版本。

漏洞详情

该漏洞存在于ExecuTorch框架中,是一个堆缓冲区溢出(heap-buffer-overflow)漏洞。

影响范围 该漏洞影响ExecuTorch在提交记录 93b1a0c15f7eda49b2bc46b5b4c49557b4e9810f 之前的所有版本。

受影响组件

  • pip (Python): executorch 包,受影响版本 <= 0.6.0,已修复版本为 0.7.0。
  • Swift: executorch 包,受影响版本 <= 0.6.0,已修复版本为 0.7.0-rc1。
  • Maven (Android): org.pytorch:executorch-android 包,受影响版本 <= 0.6.0,已修复版本为 0.7.0-rc1。

漏洞描述 在加载ExecuTorch模型方法时存在的堆缓冲区溢出漏洞,可导致运行时崩溃,并可能引发任意代码执行或其他不良后果。

技术信息

严重等级

  • 严重性: 高 (High)
  • CVSS v3.1 评分: 8.1

CVSS v3.1 基准指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 需要 (R)
  • 范围 (S): 未改变 (U)
  • 机密性影响 (C): 高 (H)
  • 完整性影响 (I): 无 (N)
  • 可用性影响 (A): 高 (H)
  • 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

相关弱点

  • CWE-ID: CWE-122
  • 弱点名称: 堆缓冲区溢出
  • 描述: 堆溢出是一种缓冲区溢出情况,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着该缓冲区是使用 malloc() 等例程分配的。

标识符

  • CVE ID: CVE-2025-30402
  • GHSA ID: GHSA-h952-963h-rv99

参考信息

  1. NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-30402
  2. PyTorch/ExecuTorch修复提交: pytorch/executorch@93b1a0c
  3. Meta (Facebook) 安全公告: https://www.facebook.com/security/advisories/cve-2025-30402

致谢 此漏洞由 Fidget-Grep 分析师报告。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次