ExecuTorch整数溢出漏洞 · CVE-2025-30405
漏洞详情
严重程度: 严重 CVSS评分: 9.8/10
受影响包及版本
| 包管理器 | 包名称 | 受影响版本 | 修复版本 |
|---|---|---|---|
| pip | executorch | < 0.7.0 | 0.7.0 |
| Swift | executorch | < 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android | < 0.7.0 | 0.7.0 |
漏洞描述
ExecuTorch模型加载过程中存在整数溢出漏洞,可能导致对象被分配到已分配内存区域之外,进而可能造成代码执行或其他不良后果。
此漏洞影响ExecuTorch在提交0830af8207240df8d7f35b984cdf8bc35d74fa73之前的所有版本。
漏洞类型
CWE-190: 整数溢出或回绕 产品执行的计算可能产生整数溢出或回绕,当逻辑假设结果值始终大于原始值时会发生这种情况。当该计算用于资源管理或执行控制时,可能引入其他弱点。
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-30405
- pytorch/executorch@0830af8
- https://www.facebook.com/security/advisories/cve-2025-30405
时间线
- 国家漏洞数据库发布: 2025年8月7日
- GitHub咨询数据库发布: 2025年8月8日
- 审核时间: 2025年8月12日
- 最后更新: 2025年10月6日
EPSS评分
0.104%(第29百分位) 此分数估计了该漏洞在未来30天内被利用的概率。