Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch

Цзянь Чжоу ^[1] сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка ^[2] устраняется только подъёмом версии до 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия с пользователем. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.

Команда PyTorch рекомендует незамедлительно обновить библиотеку до версии 2.6.0, а при невозможности обновления необходимо избегать использования torch.load() с внешними файлами.

PS Перешлите своим знакомыми датасатанистам.