ExecuTorch整数溢出漏洞 · CVE-2025-30405
漏洞详情
严重等级:严重
CVSS评分:9.8/10
受影响的包和版本
| 包管理器 | 包名称 | 受影响版本 | 修复版本 |
|---|---|---|---|
| pip | executorch | < 0.7.0 | 0.7.0 |
| Swift | executorch | < 0.7.0 | 0.7.0 |
| Maven | org.pytorch:executorch-android | < 0.7.0 | 0.7.0 |
漏洞描述
ExecuTorch模型加载过程中存在整数溢出漏洞,可导致对象被放置在分配的内存区域之外,可能造成代码执行或其他不良后果。
此漏洞影响ExecuTorch在提交0830af8207240df8d7f35b984cdf8bc35d74fa73之前的所有版本。
技术细节
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
弱点分类
CWE-190:整数溢出或回绕
产品执行的计算可能产生整数溢出或回绕,当逻辑假设结果值总是大于原始值时会发生这种情况。当该计算用于资源管理或执行控制时,可能引入其他弱点。
参考信息
- nvd.nist.gov/vuln/detail…
- pytorch/executorch@0830af8
- www.facebook.com/security/ad…
时间线
- 国家漏洞数据库发布:2025年8月7日
- GitHub咨询数据库发布:2025年8月8日
- 审核时间:2025年8月12日
- 最后更新:2025年10月6日
安全建议
建议所有使用ExecuTorch的用户立即升级到0.7.0或更高版本,以修复此严重安全漏洞。
