漏洞详情

CVE ID: CVE-2025-54951 GHSA ID: GHSA-xc7w-r669-48pf 严重等级: 严重（CVSS 分数 9.8） 漏洞类型: 堆缓冲区溢出（CWE-122） 受影响组件: ExecuTorch（PyTorch的边缘模型执行引擎）

受影响版本

以下包管理器中的ExecuTorch组件在低于0.7.0的版本中均受影响：

• pip (Python): executorch < 0.7.0
• Swift Package Manager: executorch < 0.7.0
• Maven (Android): org.pytorch:executorch-android < 0.7.0

漏洞描述

在加载ExecuTorch模型时存在一系列相关的缓冲区溢出漏洞。这些漏洞可导致运行时崩溃，并可能造成代码执行或其他不良后果。此问题影响在提交cea9b23aa8ff78aff92829a466da97461cc7930c之前的所有ExecuTorch版本。

技术细节

该漏洞属于堆缓冲区溢出类型。具体而言，是在堆内存中分配的缓冲区（通常通过类似malloc()的例程分配）可能被越界写入，从而破坏内存结构。

CVSS v3.1 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

• 攻击向量（AV）: 网络
• 攻击复杂度（AC）: 低
• 所需权限（PR）: 无
• 用户交互（UI）: 无
• 影响范围（S）: 未改变
• 机密性影响（C）: 高
• 完整性影响（I）: 高
• 可用性影响（A）: 高

修复方案

已发布的修补版本为 0.7.0。用户应立即将受影响组件升级至此版本或更高版本。

参考链接

• NVD漏洞详情
• 修复提交 (cea9b23)
• Facebook安全公告
• 源代码仓库 (pytorch/executorch)

时间线

• 2025年8月7日: 由国家漏洞数据库（NVD）发布
• 2025年8月8日: 发布至GitHub Advisory Database
• 2025年8月12日: 经过GitHub审核
• 2025年10月6日: 最后更新

致谢

此漏洞由 Fidget-Grep 报告。