CVE-2025-30404: ExecuTorch整数溢出漏洞
漏洞详情
包管理器/受影响的包
- pip:
executorch - Swift:
executorch - Maven:
org.pytorch:executorch-android
受影响版本
- 所有版本号低于
0.7.0的 ExecuTorch 实例。
已修复版本
- 版本
0.7.0及以上。
漏洞描述
ExecuTorch 模型加载过程中存在一个整数溢出漏洞。该漏洞可能导致内存重叠分配,进而可能引发代码执行或其他不良后果。此问题影响在提交 d158236b1dc84539c1b16843bc74054c9dcba006 之前的 ExecuTorch。
严重等级 关键(Critical)
CVSS 3.1 总体评分:9.8
CVSS v3 基本指标
- 攻击途径(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 所需权限(PR): 无(N)
- 用户交互(UI): 无(N)
- 影响范围(S): 未改变(U)
- 机密性影响(C): 高(H)
- 完整性影响(I): 高(H)
- 可用性影响(A): 高(H)
EPSS 分数 0.104%(第29百分位)。此分数估计了该漏洞在未来30天内被利用的可能性。
缺陷类型(Weaknesses)
- CWE-190:整数溢出或回绕 - 产品执行的计算可能产生整数溢出或回绕,而程序逻辑假设结果值总是大于原始值。当此计算用于资源管理或执行控制时,可能引入其他弱点。
参考信息
- https://nvd.nist.gov/vuln/detail/CVE-2025-30404
- pytorch/executorch@d158236
- https://www.facebook.com/security/advisories/cve-2025-30404
标识符
- CVE ID: CVE-2025-30404
- GHSA ID: GHSA-hj95-mhgf-jxc4
源代码仓库 pytorch/executorch
致谢 Fidget-Grep