【漏洞情报】ExecuTorch整数溢出漏洞分析与修复指南

ExecuTorch整数溢出漏洞 · CVE-2025-30405

漏洞详情

严重等级：严重 CVSS评分：9.8/10

受影响的包和版本

漏洞描述

ExecuTorch模型加载过程中存在整数溢出漏洞，可导致对象被放置在分配的内存区域之外，可能造成代码执行或其他不良后果。

此漏洞影响ExecuTorch在提交0830af8207240df8d7f35b984cdf8bc35d74fa73之前的所有版本。

技术细节

CVSS v3基础指标

攻击向量：网络

攻击复杂度：低

所需权限：无

用户交互：无

范围：未改变

机密性影响：高

完整性影响：高

可用性影响：高

弱点分类

CWE-190：整数溢出或回绕

产品执行的计算可能产生整数溢出或回绕，当逻辑假设结果值总是大于原始值时会发生这种情况。当该计算用于资源管理或执行控制时，可能引入其他弱点。

参考信息

https://nvd.nist.gov/vuln/detail/CVE-2025-30405

pytorch/executorch@0830af8

https://www.facebook.com/security/advisories/cve-2025-30405

时间线

国家漏洞数据库发布：2025年8月7日

GitHub咨询数据库发布：2025年8月8日

审核时间：2025年8月12日

最后更新：2025年10月6日

安全建议

建议所有使用ExecuTorch的用户立即升级到0.7.0或更高版本，以修复此严重安全漏洞。

项目地址：

https://github.com/pytorch/executorch.git