Kritická zraniteľnosť vo frameworku PyTorch

Vývojári pythonového open-source frameworku pre strojové učenie PyTorch vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2025-32434 možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• PyTorch vo verziách 2.5.1 a starších

Opis zraniteľnosti:

CVE-2025-32434  (CVSS 4.0 skóre: 9,3)

Kritická zraniteľnosť sa nachádza vo funkcii torch.load(), ktorá je používaná na načítavanie modelov a spočíva v deserializácii nedôveryhodných údajov. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného modelu mohol zneužiť na vzdialené vykonanie kódu.

Pozn.: Zraniteľnosť je možné zneužiť aj v prípade volania funkcie s parametrom weights_only=True, ktorý bol doteraz považovaný za bezpečný.

Možné škody:

• Vzdialené vykonanie kódu

Odporúčania:

Odporúčame uistiť sa, či Vaše aplikácie a služby nevyužívajú zraniteľné verzie knižnice PyTorch. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice na verziu 2.6.0.

Zdroje:

• https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
• https://nvd.nist.gov/vuln/detail/CVE-2025-32434
• https://securityonline.info/critical-pytorch-vulnerability-cve-2025-32434-allows-remote-code-execution/