漏洞详情
CVE ID: CVE-2025-30404 GHSA ID: GHSA-hj95-mhgf-jxc4 严重等级: 严重 (CVSS 3.1 评分 9.8) 发布日期: 2025年8月8日
漏洞描述
ExecuTorch 在加载模型时存在整数溢出漏洞,可能导致内存分配重叠,进而可能引发代码执行或其他不良后果。此漏洞影响 d158236b1dc84539c1b16843bc74054c9dcba006 提交之前的所有 ExecuTorch 版本。
受影响版本与修复版本
| 包管理器 | 受影响包 | 受影响版本 | 已修复版本 |
|---|---|---|---|
| pip | executorch (pip) |
< 0.7.0 | 0.7.0 |
| Swift | executorch (Swift) |
< 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android (Maven) |
< 0.7.0 | 0.7.0 |
CVSS v3.1 详细指标
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 无 (N)
- 用户交互 (UI): 无 (N)
- 影响范围 (S): 未改变 (U)
- 机密性影响 (C): 高 (H)
- 完整性影响 (I): 高 (H)
- 可用性影响 (A): 高 (H) 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱点类型
CWE ID: CWE-190 - 整数溢出或回绕 产品执行的计算可能产生整数溢出或回绕,而逻辑假设结果值始终大于原始值。当该计算用于资源管理或执行控制时,可能引入其他弱点。
其他信息
- EPSS 分数: 0.104% (第29百分位)
- 参考链接:
- https://nvd.nist.gov/vuln/detail/CVE-2025-30404
- pytorch/executorch@d158236
- https://www.facebook.com/security/advisories/cve-2025-30404
- 致谢: Fidget-Grep 分析师