V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
LinuxfoundationПриложениеnvd,anchore_overrides

Pytorch

Уязвимости
31
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01878

Распределение по критичности

Критический
3
Высокий
8
Средний
16
Низкий
4

Затронутые диапазоны версий

2.6.0–2.7.0< 1.13.1< 2.10.0< 2.2.0< 2.6.0≤ 2.4.1≤ 2.6.0≤ 2.7.0≤ 2.8.0
Также сопоставлено как (исходные строки): pytorch

Топ уязвимостей

CVE-2024-48063В PyTorch <=2.4.1 RemoteModule имеет Deserialization RCE. ПРИМЕЧАНИЕ: это оспаривается несколькими сторонами, поскольку это предполагаемое поведение в распределенных вычислениях PyTorch.
CVE-2022-45907В PyTorch до версии trunk/89695 torch.jit.annotations.parse_type_line может привести к произвольному выполнению кода, поскольку eval используется небезопасно.
CVE-2025-32434PyTorch — это пакет Python, обеспечивающий вычисление тензоров с сильным ускорением на GPU и глубокие нейронные сети, построенные на системе автоматического дифференцирования на основе ленты. В версии 2.5.1 и ранее существует уязвимость Remote Command Execution (RCE) при загрузке модели с помощью torch.load с weights_only=True. Уязвимость была исправлена в версии 2.6.0. Согласно источнику [1], даже при использовании weights_only=True возможно выполнение произвольного кода. Для устранения рекомендуется обновиться до версии 2.6.0 или позже. Источники: - [1] https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
CVE-2026-24747PyTorch - это пакет Python, который обеспечивает тензорные вычисления. До версии 2.10.0 уязвимость в расшифровщике PyGorch `weights_only` позволяет злоумышленнику создавать вредоносный файл контрольной точки (`.pth`), который при загрузке с `forch.load(..., weights_only=True)`, может испортить память и потенциально привести к произвольному исполнению кода. Версия 2.10.0 исправляет проблему.
CVE-2024-31583В Pytorch до версии v2.2.0 обнаружена уязвимость использования после освобождения в torch/csrc/jit/mobile/interpreter.cpp.
CVE-2025-55560Проблема в PyTorch v2.7.0 может привести к отказу в обслуживании (DoS), когда модель PyTorch состоит из `torch.Tensor.to_sparse()` и `torch.Tensor.to_dense()` и компилируется с помощью Inductor [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/151522 - [2] https://github.com/pytorch/pytorch/pull/151897
CVE-2025-55558Переполнение буфера происходит в pytorch v2.7.0, когда модель PyTorch состоит из torch.nn.Conv2d, torch.nn.functional.hardshrink и torch.Tensor.view-torch.mv() и компилируется Inductor, что приводит к отказу в обслуживании (DoS). Эта уязвимость исправлена в последней версии pytorch [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/151523 - [2] https://github.com/pytorch/pytorch/pull/151887 - [3] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2025-55557Ошибка имени (Name Error) в pytorch v2.7.0 при компиляции модели, содержащей torch.cummin, с помощью Inductor приводит к отказу в обслуживании (DoS). Проблема возникает из-за неправильного понижения для cummin и cummax для тензоров с одним элементом [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/151738 - [2] https://github.com/pytorch/pytorch/pull/151931 - [3] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2025-55553Синтаксическая ошибка в компоненте proxy_tensor.py PyTorch v2.7.0 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) [1]. Эта уязвимость исправлена в последней версии PyTorch. Источники: - [1] https://github.com/pytorch/pytorch/issues/151432 - [2] https://github.com/pytorch/pytorch/pull/154645 - [3] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2025-55552Уязвимость в PyTorch v2.8.0, связанная с неожиданным поведением при совместном использовании torch.rot90 и torch.randn_like [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/147847 - [2] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2025-55551Уязвимость в PyTorch v2.8.0, связанная с ошибкой типа при выполнении среза в torch.linalg.lu, что может привести к DoS [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/151401 - [2] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2024-31584Pytorch до версии v2.2.0 имеет уязвимость чтения за пределами границ через компонент torch/csrc/jit/mobile/flatbuffer_loader.cpp.
CVE-2025-55554PyTorch версии 2.8.0 был обнаружен с целочисленным переполнением в компоненте torch.nan_to_num-.long() [1]. Эта уязвимость может привести к получению неверных результатов при компиляции модели PyTorch с использованием inductor, что потенциально может привести к неправильным или опасным решениям. Источники: - [1] https://github.com/pytorch/pytorch/issues/151510 - [2] https://gist.github.com/shaoyuyoung/0e7d2a586297ae9c8ed14d8706749efc
CVE-2025-46153Уязвимость PyTorch версий до 3.7.0, а именно функции bernoulli_p в decompositions.py, не полностью соответствует реализации на CPU, что негативно влияет на nn.Dropout1d, nn.Dropout2d и nn.Dropout3d при fallback_random=True. Разработчики сообщества PyTorch подтвердили эту уязвимость и исправили ее в последней версии PyTorch [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/142853 - [2] https://github.com/pytorch/pytorch/pull/143460 - [3] https://gist.github.com/shaoyuyoung/e636f2e7a306105b7e96809e2b85c28a - [4] https://github.com/pytorch/pytorch/compare/v2.6.0...v2.7.0 - [5] https://gist.github.com/shaoyuyoung/4bcefba4004f8271e64b5185c95a248a
CVE-2025-46152В PyTorch до версии 2.7.0 функция bitwise_right_shift выдает неверный вывод для определенных значений аргумента «other», выходящих за пределы допустимого диапазона. Согласно отчету [1], уязвимость позволяет злоумышленнику принять опасные решения на основе неверных результатов. Источники: - [1] https://github.com/pytorch/pytorch/issues/143555 - [2] https://github.com/pytorch/pytorch/pull/143635 - [3] https://gist.github.com/shaoyuyoung/4bcefba4004f8271e64b5185c95a248a
CVE-2025-46150Уязвимость в PyTorch до версии 2.7.0, связанная с некорректным поведением FractionalMaxPool2d при использовании torch.compile [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/141538 - [2] https://github.com/pytorch/pytorch/issues/141538#issuecomment-2537424658 - [3] https://github.com/pytorch/pytorch/pull/144395 - [4] https://gist.github.com/shaoyuyoung/4bcefba4004f8271e64b5185c95a248a
CVE-2025-46149В PyTorch версий до 2.7.0 при использовании inductor функция torch.nn.Fold вызывает ошибку утверждения, что может привести к отказу в обслуживании. Разработчики PyTorch подтвердили эту уязвимость и устранили её в версии 2.7.0 [1]. Источники: - [1] https://github.com/pytorch/pytorch/issues/147848 - [2] https://github.com/pytorch/pytorch/pull/147961 - [3] https://gist.github.com/shaoyuyoung/4bcefba4004f8271e64b5185c95a248a
CVE-2025-46148В PyTorch через версию 2.6.0 при использовании режима eager, функция nn.PairwiseDistance(p=2) выдает неверные результаты [1]. Эта уязвимость помечена как высокоприоритетная сообществом PyTorch. Проблема затрагивает компонент torch inductor (глубокий компилятор обучения PyTorch). Злоумышленник может запросить компиляцию модели PyTorch с использованием inductor, что приведет к получению неверных результатов. Более подробная информация доступна в соответствующих ссылках. Источники: - [1] https://github.com/pytorch/pytorch/issues/151198 - [2] https://gist.github.com/shaoyuyoung/65a587a579dfdff887b9b35bb79b9093 - [3] https://github.com/pytorch/pytorch/pull/152993 - [4] https://gist.github.com/shaoyuyoung/4bcefba4004f8271e64b5185c95a248a
CVE-2025-3730В PyTorch 2.6.0 обнаружена уязвимость, классифицированная как проблематичная, в функции `torch.nn.functional.ctc_loss` файла `aten/src/ATen/native/LossCTC.cpp`. Манипуляции с неизвестным входом приводят к уязвимости типа denial of service. Атака должна быть проведена локально [1]. Разработчики PyTorch рекомендуют не использовать неизвестные модели, которые могут иметь вредоносный эффект. Для устранения проблемы рекомендуется применить патч `46fc5d8e360127361211cb237d5f9eef0223e567` [2]. Источники: - [1] https://vuldb.com/?id.305076 - [2] https://github.com/pytorch/pytorch/issues/150835 - [3] https://github.com/pytorch/pytorch/pull/150981
CVE-2025-3136Уязвимость, классифицированная как проблемная, была обнаружена в PyTorch 2.6.0. Эта проблема затрагивает функцию torch.cuda.memory.caching_allocator_delete файла c10/cuda/CUDACachingAllocator.cpp. Манипуляция приводит к порче памяти. Нападение должно быть локальным. Эксплойт был раскрыт публично и может быть использован.
CVE-2025-3121Обнаружена уязвимость, классифицируемая как проблемная, в PyTorch версии 2.6.0. Затронута функция torch.jit.jit_module_from_flatbuffer. Манипуляции приводят к повреждению памяти. Для атаки требуется локальный доступ. Эксплойт был обнародован и может быть использован.
CVE-2025-3001Уязвимость, классифицируемая как критическая, была обнаружена в PyTorch 2.6.0. Эта уязвимость затрагивает функцию torch.lstm_cell. Манипуляция приводит к повреждению памяти. Атаку необходимо проводить локально. Эксплойт был раскрыт для общественности и может быть использован.
CVE-2025-3000Уязвимость, классифицированная как критическая, была обнаружена в PyTorch 2.6.0. Это затрагивает функцию torch.jit.script. Манипуляция приводит к порче памяти. Атаку возможно запустить на локальном хосте. Эксплуатация была раскрыта общественности и может быть использована.
CVE-2025-2999Обнаружена уязвимость в PyTorch 2.6.0. Она классифицируется как критическая. Затронута функция torch.nn.utils.rnn.unpack_sequence. Манипуляция приводит к повреждению памяти. Атака должна быть осуществлена локально. Эксплойт был раскрыт общественности и может быть использован.
CVE-2025-2998Уязвимость была найдена в PyTorch 2.6.0. Она была признана критической. Затрагиваемая функциональность — это функция torch.nn.utils.rnn.pad_packed_sequence. Манипуляция приводит к повреждению памяти. Для этой атаки требуется локальный доступ. Эксплойт был раскрыт для общественности и может быть использован.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →