PyTorch は信頼できないチェックポイントファイル経由でリモートコード実行の脆弱性があります

この脆弱性を悪用されると、攻撃者は悪意のある.pthチェックポイントファイルをPyTorchにロードさせることができます。このファイルは、torch.load(..., weights_only=True)を使用してロードされる際に、メモリを意図的に破損させ、攻撃者が任意のコードを実行するトリガーとなります。攻撃者は、PyTorchを使用するアプリケーションのサーバーを完全に制御できる可能性があります。この脆弱性は、特に機械学習モデルのトレーニングやデプロイメントにPyTorchを使用している環境において、深刻なリスクをもたらします。攻撃者は、機密情報を盗み出したり、システムを破壊したり、他のシステムへの攻撃の足がかりとして利用する可能性があります。

Organizations and individuals using PyTorch for machine learning development and deployment are at risk, particularly those relying on the weights_only=True loading option for model efficiency. Shared hosting environments where multiple users can upload and load models are especially vulnerable.

• python / system: Monitor for unusual memory access patterns during .pth file loading using memory profiling tools. • python / application: Implement logging around torch.load calls to track file sources and loading parameters. • generic web: If PyTorch models are served via a web application, monitor for suspicious file uploads or requests for .pth files. • generic web: Check access logs for requests containing .pth extensions, especially from untrusted sources.

1. 2026-01-27Disclosure

   disclosure

1. 予約済み2026-01-26
2. 公開日2026-01-27
3. 更新日2026-02-26
4. EPSS 更新日2026-03-23

この脆弱性への最良の対応は、PyTorchをバージョン2.10.0以降にアップデートすることです。アップデートがすぐに利用できない場合は、weights_only=Trueオプションの使用を避け、信頼できないソースからのチェックポイントファイルのロードを厳禁してください。WAF（Web Application Firewall）を導入し、悪意のある.pthファイルのアップロードをブロックすることも有効です。また、PyTorchのログを監視し、異常なメモリ破損の兆候を検出することも重要です。アップデート後、PyTorchのバージョンを確認し、脆弱性が解消されていることを確認してください。