关于PyTorch 远程命令执行漏洞(CVE-2025-32434)的安全预警

一、 基本情况

PyTorch是一个开源的深度学习框架，广泛用于机器学习和人工智能研究。它提供强大的张量计算功能，支持GPU加速，并且基于自动求导系统（autograd），使得模型训练更加高效。PyTorch以其动态计算图和灵活性受到研究人员和开发者的青睐，能够轻松构建和训练神经网络。它支持多种深度学习任务，包括计算机视觉、自然语言处理等，且与Python生态系统兼容，方便与其他工具和库集成。

二、 漏洞描述

PyTorch官方发布的安全公告，指出在PyTorch 2.5.1及之前版本中存在一个远程命令执行（RCE）漏洞。该漏洞发生在使用torch.load函数加载模型时，特别是在参数weights_only=True被设置的情况下。攻击者可利用此漏洞执行恶意代码，从而远程控制系统。该漏洞的评分为9.3分，漏洞级别为严重。

三、 影响范围

PyTorch<=2.5.1

四、 修复建议

官方已发布安全更新，建议受影响用户尽快升级至 PyTorch 版本 2.6.0 或更高版本，以修复该远程命令执行（RCE）漏洞。

下载链接：https://github.com/pytorch/pytorch/releases/

五、 参考链接

https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6

https://nvd.nist.gov/vuln/detail/CVE-2025-32434