ExecuTorch 堆缓冲区溢出漏洞 · CVE-2025-54949
漏洞详情
包管理器及受影响组件:
- pip (
executorch)- 受影响版本:
< 0.7.0 - 已修复版本:
0.7.0
- 受影响版本:
- Swift (
executorch)- 受影响版本:
< 0.7.0 - 已修复版本:
0.7.0
- 受影响版本:
- Maven (
org.pytorch:executorch-android)- 受影响版本:
< 0.7.0 - 已修复版本:
0.7.0
- 受影响版本:
描述:
ExecuTorch 模型加载过程中存在一个堆缓冲区溢出漏洞,可能导致代码执行或其他不良后果。此问题影响提交 ede82493dae6d2d43f8c424e7be4721abe5242be 之前的 ExecuTorch 版本。
参考链接:
- https://nvd.nist.gov/vuln/detail/CVE-2025-54949
- pytorch/executorch@ede8249
- https://www.facebook.com/security/advisories/cve-2025-54949
时间线
- 国家漏洞数据库发布: 2025年8月7日
- GitHub 安全通告数据库发布: 2025年8月8日
- 审核: 2025年8月12日
- 最后更新: 2025年10月6日
严重性评估
严重等级: 高危 CVSS 总体评分: 9.8 / 10
CVSS v3.1 基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS 分数: 0.116% (第31百分位) 该分数估计了此漏洞在未来30天内被利用的概率。数据由 FIRST 提供。
弱点
弱点 ID: CWE-122
描述: 堆基缓冲区溢出
堆溢出是一种缓冲区溢出情况,其中可被覆盖的缓冲区分配在内存的堆部分,通常意味着该缓冲区是使用 malloc() 等例程分配的。
标识符
- CVE ID: CVE-2025-54949
- GHSA ID: GHSA-9m39-3mf3-xwch
源代码
- 存储库: pytorch/executorch
致谢
分析师: Fidget-Grep
此通告已编辑。请查看历史记录。
发现可以改进的地方?请为此漏洞提出改进建议。