漏洞详情

漏洞标识符： CVE-2025-54950 / GHSA-f9hx-c6jf-3qxm

漏洞标题： ExecuTorch 越界访问漏洞

严重级别： 严重 (CVSS 评分 9.8)

概述： 在加载ExecuTorch模型时存在一个越界访问漏洞。此漏洞可导致运行时崩溃，并可能引发代码执行或其他不良后果。

受影响的组件及版本：

1. PyPI (pip):

   • 包名：executorch
   • 受影响版本：< 0.7.0
   • 已修复版本：0.7.0

2. Swift Package Manager:

   • 包名：executorch
   • 受影响版本：< 0.7.0
   • 已修复版本：0.7.0

3. Maven:

   • 包名：org.pytorch:executorch-android
   • 受影响版本：< 0.7.0
   • 已修复版本：0.7.0

漏洞影响： 此漏洞影响提交哈希 fb03b6f85596a8f954d97929075335255b6a58d4 之前的 ExecuTorch 版本。

技术细节

弱点枚举 (CWE): CWE-125 - 越界读取 描述： 软件读取了超出或位于预期缓冲区边界之外的数据。

CVSS v3.1 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基础指标评分:

• 攻击途径 (AV): 网络 (N)
• 攻击复杂度 (AC): 低 (L)
• 所需权限 (PR): 无 (N)
• 用户交互 (UI): 无 (N)
• 影响范围 (S): 未改变 (U)
• 机密性影响 (C): 高 (H)
• 完整性影响 (I): 高 (H)
• 可用性影响 (A): 高 (H)

EPSS 评分: 0.135% (第34百分位数)

参考信息

1. 官方漏洞数据库：
   • https://nvd.nist.gov/vuln/detail/CVE-2025-54950
2. 修复提交：
   • pytorch/executorch@fb03b6f (主要修复)
   • pytorch/executorch@b6b7a16 (相关提交)
3. 安全公告：
   • https://www.facebook.com/security/advisories/cve-2025-54950

时间线

• 国家漏洞数据库 (NVD) 发布日期: 2025年8月7日
• GitHub Advisory 数据库发布日期: 2025年8月8日
• GitHub 审核日期: 2025年8月12日
• 最后更新日期: 2025年10月6日

报告者/分析师: Fidget-Grep