CRITICAL🇬🇧 English

CVE-2024-48063

PyTorch RemoteModule — Deserialization RCE w funkcjach rozproszonych

CVSS 9.8v3.1pub. 2024-10-29upd. 2025-07-16

W PyTorch w wersji do 2.4.1 włącznie, komponent RemoteModule jest podatny na atak typu Deserialization RCE, umożliwiający zdalne wykonanie kodu. Należy jednak zaznaczyć, że wielu uczestników dyskusji kwestionuje status tej podatności, wskazując że jest to zamierzone zachowanie w kontekście PyTorch distributed computing.

Pokaż oryginał (EN)

In PyTorch <=2.4.1, the RemoteModule has Deserialization RCE. NOTE: this is disputed by multiple parties because this is intended behavior in PyTorch distributed computing.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznej deserializacji danych (CWE-502) w komponencie RemoteModule, wchodzącym w skład frameworka do obliczeń rozproszonych PyTorch. Osoba atakująca może dostarczyć spreparowane, złośliwe dane do procesu deserializacji, co w konsekwencji prowadzi do wykonania arbitralnego kodu na serwerze. Mechanizm ten jest dostępny sieciowo, bez wymogu uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem ofiary poprzez zdalne wykonanie dowolnego kodu (RCE), co zagraża poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent wskazuje w swojej polityce bezpieczeństwa, że funkcje distributed PyTorch są przeznaczone wyłącznie do użytku w zaufanych środowiskach sieciowych — nie należy eksponować interfejsów distributed computing na niezaufane sieci. Zaleca się zapoznanie z dokumentacją bezpieczeństwa PyTorch dotyczącą funkcji rozproszonych.

Kogo dotyczy

PyTorch (Linuxfoundation) w wersjach do 2.4.1 włącznie, korzystający z funkcji distributed computing (RemoteModule / Distributed RPC Framework).

Uwagi

Podatność jest kwestionowana (disputed) przez wielu uczestników dyskusji, w tym przez maintainerów PyTorch, którzy wskazują że opisane zachowanie RemoteModule jest celowym projektem frameworka distributed computing, nie zaś błędem. Środowiska używające PyTorch distributed w izolowanych, zaufanych sieciach mogą uznać ryzyko za akceptowalne zgodnie z przyjętym modelem zagrożeń producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Linuxfoundation Pytorch

    APP
    Linuxfoundation
    ≤ 2.4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2025-32434CRITICAL9.3PL ✓ten sam produkt

RCE w PyTorch przy deserializacji modelu przez torch.load

CVE-2022-45907CRITICAL9.8ten sam produkt

In PyTorch before trunk/89695, torch.jit.annotations.parse_type_line can cause arbitrary code execution becaus...

CVE-2026-24747HIGH8.8ten sam produkt

PyTorch is a Python package that provides tensor computation. Prior to version 2.10.0, a vulnerability in PyTo...

CVE-2025-55552HIGH7.5ten sam produkt

pytorch v2.8.0 was discovered to display unexpected behavior when the components torch.rot90 and torch.randn_l...

CVE-2025-55551HIGH7.5ten sam produkt

An issue in the component torch.linalg.lu of pytorch v2.8.0 allows attackers to cause a Denial of Service (DoS...

CVE-2024-48063 — PyTorch RemoteModule — Deserialization RCE w funkcjach rozproszonych — CRITICAL 9.8 | CVEbaza.pl