漏洞信息
# PyTorch:带有 `weights_only=True` 的 `torch.load` 导致远程代码执行
## 漏洞概述
PyTorch 是一个提供强 GPU 加速和基于磁带自动微分系统的深度神经网络的 Python 包。在特定版本中,当使用 `torch.load` 并设置 `weights_only=True` 来加载模型时,存在远程命令执行 (RCE) 漏洞。
## 影响版本
- 所有低于或等于 2.5.1 的版本
## 细节
在受影响的 PyTorch 版本中,如果攻击者能够控制被加载的模型文件并使用 `torch.load` 函数时设置 `weights_only=True` 参数,则可能触发 RCE 漏洞。
## 影响
该漏洞允许远程攻击者通过操纵模型文件来执行任意命令。此漏洞已在 2.6.0 版本中修补,建议用户升级到最新版本以避免潜在的安全风险。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PyTorch: `torch.load` with `weights_only=True` leads to remote code execution
漏洞描述信息
PyTorch is a Python package that provides tensor computation with strong GPU acceleration and deep neural networks built on a tape-based autograd system. In version 2.5.1 and prior, a Remote Command Execution (RCE) vulnerability exists in PyTorch when loading a model using torch.load with weights_only=True. This issue has been patched in version 2.6.0.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
PyTorch 代码问题漏洞
漏洞描述信息
PyTorch是PyTorch开源的一个 Python 包。 PyTorch 2.5.1及之前版本存在代码问题漏洞,该漏洞源于使用torch.load加载模型时可能导致远程命令执行。
CVSS信息
N/A
漏洞类别
代码问题