【缝隙公告】PyTorch 远程号令执行缝隙(CVE-2025-32434)

颁布功夫 2025-04-24

一、缝隙概述


缝隙名称

PyTorch 远程号令执行缝隙

CVE ID

CVE-2025-32434

缝隙类型

号令执行

发现功夫

2025-04-24

缝隙评分

9.3

缝隙等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不必要

PoC/EXP

未公开

在野利用

未发现


PyTorch是一个开源的深度学习框架,,宽泛用于机械学习和人为智能钻研。。它提供壮大的张量推算职能,,支持GPU加快,,并且基于自动求导系统(autograd),,使得模型训练越发高效。。PyTorch以其动态推算图和矫捷性受到钻研人员和开发者的青睐,,可能轻松构建和训练神经网络。。它支持多种深度学习工作,,蕴含推算机视觉、天然说话处置等,,且与Python生态系统兼容,,方便与其他工具和库集成。。


2025年4月24日,,OG东方厅集团VSRC监测到PyTorch官方颁布的安全布告,,指出在PyTorch 2.5.1及之前版本中存在一个远程号令执行(RCE)缝隙。。该缝隙产生在使用torch.load函数加载模型时,,出格是在参数weights_only=True被设置的情况下。。攻击者可利用此缝隙执行恶意代码,,从而远程节制系统。。该缝隙的评分为9.3分,,缝隙级别为严重。。


二、影响领域


PyTorch<=2.5.1


三、安全措施


3.1 升级版本


官方已颁布安全更新,,建议受影响用户尽快升级至 PyTorch 版本 2.6.0 或更高版本,,以修复该远程号令执行(RCE)缝隙。。


下载链接:::https://github.com/pytorch/pytorch/releases/


3.2 一时措施


暂无。。


3.3 通用建议


? 定期更新系统补丁,,削减系统缝隙,,提升服务器的安全性。。
加强系统和网络的接见节制,,批改防火墙战术,,关闭非必要的利用端口或服务,,削减将危险服务(如SSH、RDP等)露出到公网,,削减攻击面。。
使用企业级安全产品,,提升企业的网络安全机能。。
加强系统用户和权限治理,,启用多成分认证机制和最小权限准则,,用户和软件权限应维持在最低限度。。
启用强密码战术并设置为定期批改。。


3.4 参考链接


https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
https://nvd.nist.gov/vuln/detail/CVE-2025-32434