ExecuTorch 存在高危堆缓冲区溢出漏洞 (CVE-2025-54951)
漏洞详情
ExecuTorch 框架在加载模型时存在一组相关的缓冲区溢出漏洞。这些漏洞可能导致运行时崩溃,并可能引发代码执行或其他不良后果。该问题影响 ExecuTorch 在提交 cea9b23aa8ff78aff92829a466da97461cc7930c 之前的所有版本。
影响范围
受影响的包及版本
- pip (executorch): 版本 < 0.7.0
- Swift (executorch): 版本 < 0.7.0
- Maven (org.pytorch:executorch-android): 版本 < 0.7.0
已修复版本
上述所有包均已在其 0.7.0 版本中修复了此漏洞。
严重性评估
该漏洞被评定为 严重 级别。
- CVSS v3.1 总体评分: 9.8 (满分10分)
- CVSS v3.1 基础指标向量:
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
- EPSS 评分: 0.116% (未来30天内被利用的概率估计,处于第31百分位)
漏洞类型
该漏洞被归类为 CWE-122: 基于堆的缓冲区溢出。这意味着可以被覆盖的缓冲区分配在内存的堆区域,通常是通过类似 malloc() 这样的例程分配的。
参考信息
- CVE ID: CVE-2025-54951
- GHSA ID: GHSA-xc7w-r669-48pf
- 源代码仓库:
pytorch/executorchon GitHub - 官方公告:
时间线
- 2025年8月7日: 由美国国家漏洞数据库 (NVD) 发布。
- 2025年8月8日: 发布至 GitHub 安全公告数据库。
- 2025年8月12日: GitHub 完成审核。
- 2025年10月6日: 最后一次更新。
建议措施
所有使用受影响版本 ExecuTorch 的用户和开发人员应立即将软件包升级到 0.7.0 或更高版本,以修复此高危安全漏洞。