PyTorch: disponibile PoC per lo sfruttamento della CVE-2025-32434 (AL10/260320/CSIRT-ITA)

Data:
20 Marzo 2026

Impatto Sistemico

Critico (75.38)

Sintesi

Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2025-32434, con gravità “critica”, che riguarda un modulo presente in PyTorch, libreria per deep learning usata per sviluppare e addestrare modelli neurali in modo flessibile. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.

Tipologia

Remote Code Execution
Security Feature Bypass

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per la vulnerabilità identificata tramite la CVE-2025-32434, di tipo “Remote Code Execution” e con score CVSS v3.x pari a 9.8, che riguarda un modulo di PyTorch.

Nel dettaglio tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato tramite il caricamento di modelli opportunamente predisposti, attraverso la funzione torch.load().

Prodotti e/o versioni affette

PyTorch

versioni precedenti alla 2.6.0

Azioni di mitigazione

Ove non già provveduto, si raccomanda l’aggiornamento alla versione della libreria più recente pubblicata dal fornitore.

Si rappresenta altresì che il solo utilizzo dell’opzione “weights_only=True” indicata dal produttore, non è sufficiente in quanto la vulnerabilità risulterebbe comunque essere presente e sfruttabile.

Riferimenti

https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6

CVE

CVE-ID
CVE-2025-32434

Change log

Versione	Note	Data
1.0	Pubblicato il 20-03-2026	20/03/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

20 Marzo 2026, 16:11

CSIRT Toscana

CSIRT Toscana