首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】PyTorch 遠程命令執行漏洞(CVE-2025-32434)

發布時間 2025-04-24

一、漏洞概述


漏洞名稱

PyTorch 遠程命令執行漏洞

CVE ID

CVE-2025-32434

漏洞類型

命令執行

發現時間

2025-04-24

漏洞評分

9.3

漏洞等級

嚴重

攻擊向量

網絡

所需權限

利用難度

用戶交互

不需要

PoC/EXP

未公開

在野利用

未發現


PyTorch是一個開源的深度學習框架,廣泛用于機器學習和人工智能研究。它提供強大的張量計算功能,支持GPU加速,并且基于自動求導系統(autograd),使得模型訓練更加高效。PyTorch以其動態計算圖和靈活性受到研究人員和開發者的青睞,能夠輕松構建和訓練神經網絡。它支持多種深度學習任務,包括計算機視覺、自然語言處理等,且與Python生態系統兼容,方便與其他工具和庫集成。


2025年4月24日,啟明星辰集團VSRC監測到PyTorch官方發布的安全公告,指出在PyTorch 2.5.1及之前版本中存在一個遠程命令執行(RCE)漏洞。該漏洞發生在使用torch.load函數加載模型時,特別是在參數weights_only=True被設置的情況下。攻擊者可利用此漏洞執行惡意代碼,從而遠程控制系統。該漏洞的評分為9.3分,漏洞級別為嚴重。


二、影響范圍


PyTorch<=2.5.1


三、安全措施


3.1 升級版本


官方已發布安全更新,建議受影響用戶盡快升級至 PyTorch 版本 2.6.0 或更高版本,以修復該遠程命令執行(RCE)漏洞。


下載鏈接:https://github.com/pytorch/pytorch/releases/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
https://nvd.nist.gov/vuln/detail/CVE-2025-32434
上一篇 下一篇