ExecuTorch整数溢出漏洞·CVE-2025-30405
漏洞详情
ExecuTorch模型加载过程中存在整数溢出漏洞,可能导致对象被放置在分配的内存区域之外,从而可能造成代码执行或其他不良后果。此问题影响提交0830af8207240df8d7f35b984cdf8bc35d74fa73之前的ExecuTorch版本。
受影响版本
pip
- 包名: executorch
- 受影响版本: < 0.7.0
- 修复版本: 0.7.0
Swift
- 包名: executorch
- 受影响版本: < 0.7.0
- 修复版本: 0.7.0
Maven
- 包名: org.pytorch:executorch-android
- 受影响版本: < 0.7.0
- 修复版本: 0.7.0
严重程度
严重等级: 严重 CVSS总体评分: 9.8/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱点分类
弱点: CWE-190 - 整数溢出或回绕
产品执行的计算可能产生整数溢出或回绕,当逻辑假设结果值总是大于原始值时。当该计算用于资源管理或执行控制时,可能引入其他弱点。
参考信息
- https://nvd.nist.gov/vuln/detail/CVE-2025-30405
- pytorch/executorch@0830af8
- https://www.facebook.com/security/advisories/cve-2025-30405
元数据
- CVE ID: CVE-2025-30405
- GHSA ID: GHSA-84m3-f99p-cqx5
- 源代码: pytorch/executorch
- 致谢: Fidget-Grep Analyst
发布日期: 2025年8月8日(GitHub咨询数据库) 最后更新: 2025年10月6日