【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
漏洞概述
漏洞名称
PyTorch 存在远程代码执行漏洞(CVE-2025-32434)
安恒CERT评级
1级
CVSS3.1评分
9.8(安恒自评)
CVE编号
CVE-2025-32434
CNVD编号
未分配
CNNVD编号
未分配
安恒CERT编号
DM-202504-001204
POC情况
未发现
EXP情况
未发现
在野利用
未发现
研究情况
分析中
危害描述
当使用torch.load加载模型且weights_only=True时,攻击者可以利用此漏洞在目标机器上执行任意命令,可能导致数据泄露、系统入侵,甚至在云托管的AI环境中进行横向移动。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
PyTorch 是一个基于软件的开源深度学习框架,用于构建神经网络,将Torch的机器学习 (ML) 库与基于Python的高级API相结合。
漏洞描述
漏洞危害等级:严重
漏洞类型:远程代码执行
影响范围
影响版本:
PyTorch <= 2.5.1
安全版本:
PyTorch >= 2.6.0
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本2.6.0。用户可以使用以下命令来更新PyTorch:
使用pip:
pip install torch torchvision torchaudio --upgrade
使用conda:
conda update pytorch torchvision torchaudio -c pytorch
参考资料
https://nvd.nist.gov/vuln/detail/CVE-2025-32434
https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
Re: 【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
感谢分享这个重要的安全通告!PyTorch 在 AI/ML 领域使用非常广泛,尤其是云环境和训练/推理服务中,一旦被利用影响面很大。CVSS 9.8 加上严重等级,建议所有受影响版本的用户尽快升级到 2.6.0。官方修复方案很清晰,pip 或 conda 直接更新就好。也提醒一下,即使 weights_only=True 模式也会被绕过,所以不要心存侥幸。多谢楼主及时通报!Re: 【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
感谢楼主分享这个重要漏洞情报。CVSS 9.8确实值得警惕,而且影响范围广,尤其是AI/ML环境里很多团队还在用旧版本。已经帮团队检查了环境,赶紧升级到2.6.0。大家如果还在用torch.load配合weights_only=True的,记得优先处理。Re: 【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
感谢分享这个重要的漏洞信息。这个CVE-2025-32434评分为9.8,影响PyTorch 2.5.1及更早版本,且攻击者可以在weights_only=True的情况下通过torch.load实现远程代码执行,确实需要引起重视。官方已经在2.6.0版本中修复,建议受影响的用户尽快升级。另外也提醒大家,在实际部署和开发中,可以检查一下是否有使用受影响版本,以及是否存在从不可信来源加载模型的情况。Re: 【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
感谢分享这个重要的风险通告!CVE-2025-32434评分很高,而且影响面广,确实需要重视。已经在用PyTorch 2.5.1及以下版本的朋友建议尽快按官方指引升级到2.6.0。补充一点:如果暂时无法升级,在调用`torch.load`时务必保持`weights_only=True`,并避免加载来源不可信的模型文件。再次感谢楼主及时的信息!
页:
[1]