Критическая уязвимость CVE-2025-32434 в PyTorch: срочное обновление версии для защиты от атак

Цзянь Чжоу сообщил о серьезной уязвимости (CVE-2025-32434), которая затрагивает все версии PyTorch до версии 2.5.1 включительно. Проблема может быть решена только путем обновления до версии 2.6.0. Уязвимость получила оценку 9.3 по шкале CVSS, что соответствует высокому уровню угрозы. Она позволяет злоумышленникам осуществлять выполнение произвольного кода на компьютере жертвы без необходимости взаимодействия с пользователем. Единственное условие — это загрузка модели, созданной хакером, даже если используется, казалось бы, безопасный параметр weights_only=True.

Команда PyTorch настоятельно рекомендует немедленно обновить библиотеку до версии 2.6.0. Если обновление невозможно, то в таких случаях следует воздержаться от использования функции torch.load() с внешними файлами.

PS Не забудьте поделиться этой информацией с вашими знакомыми, которые занимаются дата-наукой.