ExecuTorch 堆缓冲区溢出漏洞 · CVE-2025-54949 · GitHub Advisory Database
漏洞详情
漏洞描述
在加载 ExecuTorch 模型时存在一个堆缓冲区溢出漏洞,可能导致代码执行或其他不良后果。此问题影响提交 ede82493dae6d2d43f8c424e7be4721abe5242be 之前的 ExecuTorch 版本。
受影响的包及版本
| 包管理器 | 包名 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| pip | executorch (pip) |
< 0.7.0 | 0.7.0 |
| Swift | executorch (Swift) |
< 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android (Maven) |
< 0.7.0 | 0.7.0 |
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-54949
- pytorch/executorch@ede8249
- https://www.facebook.com/security/advisories/cve-2025-54949
发布时间线
- 国家漏洞数据库发布:2025年8月7日
- GitHub Advisory Database 发布:2025年8月8日
- 已审核:2025年8月12日
- 最后更新:2025年10月6日
严重程度评估
严重等级:严重 CVSS 总体评分:9.8
CVSS v3 基本指标
- 攻击向量(AV):网络(N)
- 攻击复杂度(AC):低(L)
- 所需权限(PR):无(N)
- 用户交互(UI):无(N)
- 影响范围(S):未改变(U)
- 机密性影响(C):高(H)
- 完整性影响(I):高(H)
- 可用性影响(A):高(H)
CVSS向量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS 分数:0.116% (第31百分位)
此分数估计此漏洞在未来30天内被利用的概率。数据由FIRST提供。
相关弱点(CWE)
弱点:CWE-122 - 基于堆的缓冲区溢出
基于堆的溢出情况是一种缓冲区溢出,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着该缓冲区是使用如 malloc() 之类的例程分配的。
(在 MITRE 上了解更多)
标识符
- CVE ID: CVE-2025-54949
- GHSA ID: GHSA-9m39-3mf3-xwch
源代码仓库
- pytorch/executorch
致谢
- Fidget-Grep (分析师)