خانه » CVE-2025-32434
هشدار‌های سایبری

CVE-2025-32434

PyTorch: `torch.load` with `weights_only=True` leads to remote code execution

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-32434 :CVE
  • CWE-502 :CWE
  • yes :Advisory
  • منتشر شده: آوریل 18, 2025
  • به روز شده: آوریل 18, 2025
  • امتیاز: 9.3
  • نوع حمله: Remote Command Execution
  • اثر گذاری: Command Execution
  • حوزه: برنامه نویسی
  • برند: pytorch
  • محصول: pytorch
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری CVE-2025-32434 در نسخه‌های 2.5.1 و نسخه‌های قبلی PyTorch شناسایی‌شده است. این آسیب‌پذیری نوعی اجرای کد از راه دور (RCE) می‌باشد که هنگام بارگذاری مدل‌ها با استفاده از متد torch.load و تنظیم پارامتر weights_only=True رخ می‌دهد. مهاجم می‌تواند با ارسال ورودی‌های مخرب، کد دلخواه خود را از راه دور در سیستم هدف اجرا کند.

توضیحات

این آسیب‌پذیری ناشی از عدم اعتبارسنجی مناسب ورودی‌ها هنگام بارگذاری مدل‌ها در PyTorch است. زمانی که متد torch.load برای بارگذاری مدل‌های ذخیره‌شده فراخوانی می‌شود، سیستم به‌درستی ورودی‌ها را فیلتر نمی‌کند. این ضعف در پردازش ورودی‌ها به مهاجم این امکان را می‌دهد که داده‌های خود را به مدل تزریق کرده و با دست‌کاری مدل، اجرای کد دلخواه را بر روی سیستم هدف از راه دور به انجام رساند.

این آسیب‌پذیری در نسخه‌های 2.5.1 و نسخه‌های قبلی PyTorch وجود دارد و در نسخه 2.6.0، به‌طور کامل با اعمال پچ‌های امنیتی اصلاح‌شده است. آسیب‌پذیری مذکور تهدیدی جدی برای محیط‌هایی است که از PyTorch به‌عنوان فریم‌ورک یادگیری عمیق و محاسبات تانسور استفاده می‌کنند، به‌ویژه در مواردی که مدل‌های پیچیده‌ای روی سرورهای راه دور بارگذاری می‌شوند.

CVSS

Score Severity Version Vector String
9.3 Critical                 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

لیست محصولات آسیب‌پذیر

version product
affected at < 2.6.0 pytorch

لیست محصولات بروز شده

Build number product
2.6.0 PyTorch

نتیجه‌گیری

آسیب‌پذیری CVE-2025-32434 در نسخه‌های 2.5.1 و نسخه‌های قبلی PyTorch که منجر به اجرای دستورات از راه دور (RCE) می‌شود، یک تهدید جدی برای امنیت سیستم‌ها است. این آسیب‌پذیری به مهاجمان این امکان را می‌دهد که بدون نیاز به دسترسی فیزیکی به سیستم، کد دلخواه خود را اجرا کنند؛ بنابراین، توصیه می‌شود که تمامی کاربران و سازمان‌ها هرچه سریع‌تر به نسخه 2.6.0 یا بالاتر ارتقاء یابند تا از بروز این نوع حملات جلوگیری کنند. علاوه بر این، دسترسی‌های غیرمجاز به سیستم‌ها باید محدودشده و از راهکارهای امنیتی نظیر مانیتورینگ مداوم و ارزیابی امنیتی دوره‌ای استفاده شود. همچنین، آگاهی سازی و آموزش گروه‌های امنیتی و توسعه‌دهندگان در خصوص این نوع تهدیدات می‌تواند از بروز مشکلات مشابه در آینده جلوگیری کند. 

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-32434
  2. https://www.cvedetails.com/cve/CVE-2025-32434/
  3. https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-32434
  5. https://vuldb.com/?id.305666
  6. https://cwe.mitre.org/data/definitions/502.html

همچنین ممکن است دوست داشته باشید

CVE-2025-28038

CVE-2025-28039

CVE-2025-23249

CVE-2025-23250

CVE-2025-23251

CVE-2025-0618

CVE-2025-46252

CVE-2025-29743

CVE-2025-28031

CVE-2025-32792

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.