漏洞概述
GitHub 安全公告数据库中收录了一个针对 ExecuTorch 框架的高危漏洞,编号为 CVE-2025-30402。该漏洞被归类为 堆缓冲区溢出(Heap-based Buffer Overflow),CVSS 风险评分为 8.1(高危)。
受影响范围
受影响的包管理器与版本
| 包管理器 | 包名称 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| pip | executorch |
<= 0.6.0 |
0.7.0 |
| Swift Package Manager | executorch |
<= 0.6.0 |
0.7.0-rc1 |
| Maven | org.pytorch:executorch-android |
<= 0.6.0 |
0.7.0-rc1 |
该漏洞影响 ExecuTorch 0.6.0 及更早的所有版本,核心问题存在于特定提交之前(提交哈希:93b1a0c15f7eda49b2bc46b5b4c49557b4e9810f)。
漏洞详情
漏洞描述
ExecuTorch 在加载其方法(methods)时存在一个堆缓冲区溢出漏洞。成功利用此漏洞可导致运行时(runtime)崩溃,并可能引发任意代码执行或其他不良后果。
技术根源(CWE)
该漏洞被标记为 CWE-122:堆缓冲区溢出。
- 定义:堆溢出是一种缓冲区溢出情况,其中可被覆盖的缓冲区位于内存的堆(heap)区域,通常意味着该缓冲区是通过
malloc()等例程分配的。
CVSS v3.1 评分详情
- 基础分数:8.1(高危)
- 向量字符串:
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H - 指标详解:
- 攻击途径(AV):网络(Network)
- 攻击复杂度(AC):低(Low)
- 所需权限(PR):无(None)
- 用户交互(UI):需要(Required)
- 影响范围(S):无改变(Unchanged)
- 机密性影响(C):高(High)
- 完整性影响(I):无(None)
- 可用性影响(A):高(High)
相关参考链接
- NVD(国家漏洞数据库)详情:https://nvd.nist.gov/vuln/detail/CVE-2025-30402
- 修复提交记录:pytorch/executorch@93b1a0c
- Meta(Facebook)安全公告:https://www.facebook.com/security/advisories/cve-2025-30402
- GitHub Advisory ID:GHSA-h952-963h-rv99
修复建议
用户应立即将 ExecuTorch 更新至 0.7.0 或更高版本(Swift 和 Android 用户可更新至 0.7.0-rc1),以修复此漏洞。