一、 漏洞 CVE-2025-32434 基础信息
漏洞信息
                                        # PyTorch:带有 `weights_only=True` 的 `torch.load` 导致远程代码执行

## 漏洞概述
PyTorch 是一个提供强 GPU 加速和基于磁带自动微分系统的深度神经网络的 Python 包。在特定版本中,当使用 `torch.load` 并设置 `weights_only=True` 来加载模型时,存在远程命令执行 (RCE) 漏洞。

## 影响版本
- 所有低于或等于 2.5.1 的版本

## 细节
在受影响的 PyTorch 版本中,如果攻击者能够控制被加载的模型文件并使用 `torch.load` 函数时设置 `weights_only=True` 参数,则可能触发 RCE 漏洞。

## 影响
该漏洞允许远程攻击者通过操纵模型文件来执行任意命令。此漏洞已在 2.6.0 版本中修补,建议用户升级到最新版本以避免潜在的安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PyTorch: `torch.load` with `weights_only=True` leads to remote code execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PyTorch is a Python package that provides tensor computation with strong GPU acceleration and deep neural networks built on a tape-based autograd system. In version 2.5.1 and prior, a Remote Command Execution (RCE) vulnerability exists in PyTorch when loading a model using torch.load with weights_only=True. This issue has been patched in version 2.6.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
PyTorch 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PyTorch是PyTorch开源的一个 Python 包。 PyTorch 2.5.1及之前版本存在代码问题漏洞,该漏洞源于使用torch.load加载模型时可能导致远程命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32434 的公开POC
# POC 描述 源链接 神龙链接
1 Modern Real-Time Voice Cloning - Modernized SV2TTS with PyTorch 2.x, enhanced security (CVE-2025-32434 mitigated), comprehensive testing https://github.com/Camier/VOIXCODER POC详情
三、漏洞 CVE-2025-32434 的情报信息
四、漏洞 CVE-2025-32434 的评论

暂无评论

发表评论