CVE-2025-32434

Nome do Software Vulnerável e Versões Afetadas Versões do PyTorch anteriores a 2.6.0 PyTorch ≤2.5.1

Descrição O PyTorch possui uma vulnerabilidade de Execução Remota de Comandos (RCE). Esta falha existe nas versões 2.5.1 e anteriores, especificamente ao carregar um modelo usando a função torch.load() com o parâmetro weights only=True. Embora anteriormente considerada uma prática segura, o carregamento de modelos com esta configuração agora pode levar à execução arbitrária de código. A vulnerabilidade permite que atacantes criem arquivos de modelo maliciosos que podem executar código no sistema da vítima. A função torch.load(), quando usada com weights only=True, está suscetível à exploração devido à desserialização insegura. Esta vulnerabilidade possui uma pontuação CVSS de 9.3 e é considerada crítica.

Recomendações Atualize para a versão 2.6.0 ou posterior do PyTorch para corrigir esta vulnerabilidade. Como medida provisória, evite usar torch.load() com arquivos externos e implemente verificação adicional do conteúdo do modelo.