ExecuTorch整数溢出漏洞分析
漏洞概述
CVE-2025-30405是一个影响ExecuTorch框架的整数溢出漏洞,该漏洞在加载ExecuTorch模型时可能触发,导致对象被放置在分配的内存区域之外,可能造成代码执行或其他不良后果。
影响范围
受影响版本
- pip:executorch < 0.7.0
- Swift:executorch < 0.7.0
- Maven:org.pytorch:executorch-android < 0.7.0
修复版本
所有平台的0.7.0版本均已修复此漏洞。
技术细节
漏洞类型
- CWE标识:CWE-190(整数溢出或回绕)
- CVSS评分:9.8(严重级别)
攻击向量
- 攻击途径:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
安全影响
- 机密性:高(数据泄露风险)
- 完整性:高(数据篡改风险)
- 可用性:高(服务中断风险)
修复信息
该漏洞在ExecuTorch提交0830af8207240df8d7f35b984cdf8bc35d74fa73中得到修复。
参考链接
时间线
- NVD发布:2025年8月7日
- GitHub咨询数据库发布:2025年8月8日
- 审核完成:2025年8月12日
- 最后更新:2025年10月6日
漏洞标识
- CVE ID:CVE-2025-30405
- GHSA ID:GHSA-84m3-f99p-cqx5
致谢:Fidget-Grep分析师发现并报告此漏洞。