PT-2024-32976 · Facebook+1 · Pytorch+1
Aftersnow
+2
·
Publicado
2024-10-29
·
Atualizado
2025-07-16
·
CVE-2024-48063
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do PyTorch anteriores à 2.4.1
Descrição
O problema diz respeito ao RemoteModule no PyTorch, que, segundo relatos, apresenta uma vulnerabilidade de execução remota de código (RCE) por deserialização. No entanto, observa-se que esse comportamento é intencional na computação distribuída do PyTorch e é contestado por várias partes.
Recomendações
Para versões anteriores à 2.4.1, considere restringir o uso do RemoteModule para minimizar o risco de exploração até que uma resolução ou orientação mais clara seja fornecida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Pytorch