基本信息
漏洞编号: CVE-2025-32434
危险等级: 高危
影响版本: PyTorch (pip 生态)
受影响组件: torch.load()
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
PyTorch是一个广泛使用的开源机器学习框架,其中的torch.load()函数用于加载模型文件。 在受影响的版本中,torch.load()针对tar格式模型的兼容性处理存在安全漏洞。 即使使用安全配置参数weights_only=True,仍可能通过非安全的pickle反序列化触发任意代码执行,攻击者可利用该漏洞执行恶意代码。
影响范围
影响版本
受影响版本: (−∞, 2.6.0)
最小修复版本: 2.6.0
受影响的生态
- PyTorch (pip安装生态)
验证方法
- 检查您的代码中是否使用了
torch.load()函数。 - 确认PyTorch版本是否低于2.6.0。
修复方案
方案一:版本升级 (推荐)
请更新您的PyTorch版本到2.6.0或更高版本,确保代码不受此漏洞影响。
更新命令:pip install torch --upgrade