Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только подъёмом версии до 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия с пользователем. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Команда PyTorch рекомендует незамедлительно обновить библиотеку до версии 2.6.0, а при невозможности обновления необходимо избегать использования torch.load() с внешними файлами.
PS Перешлите своим знакомыми датасатанистам.
Источник новости: habr.com
