La vulnerabilidad ha sido catalogada bajo el identificador CVE-2025-32434 y cuenta con una puntuación CVSS de 9.3, lo que la clasifica como un problema de seguridad crítico. Todas las versiones de Pytorch hasta la 2.5.1 son vulnerables, lo que pone en riesgo a un amplio número de desarrolladores que dependen de este marco para sus aplicaciones.
Pytorch, ahora parte de la Fundación Linux y desarrollado inicialmente por Meta AI, ha ganado popularidad en diversas aplicaciones, desde sistemas de inteligencia artificial hasta el procesamiento del lenguaje natural. Su enfoque en ser gratuito y de código abierto, acompañado de su fácil integración con Python, lo ha convertido en la herramienta preferida para investigadores y desarrolladores en todo el mundo.
El investigador Zhou explica que, si bien muchos en la comunidad conocen los peligros de utilizar la opción «pesos_only = false», se han confiado en «pesos_only = true» como una medida de seguridad frente a posibles exposiciones de datos. Sin embargo, su descubrimiento muestra que incluso esta configuración puede ser explotada, permitiendo a un atacante que crea un archivo de modelo diseñado para aprovechar la vulnerabilidad, ejecutar comandos arbitrarios en la máquina de destino. Esto podría resultar en violaciones de datos, compromisos del sistema y movimientos laterales en entornos de inteligencia artificial alojados en la nube.
Este hallazgo es particularmente alarmante porque la comunidad de desarrolladores ha adoptado «pesos_only = true» como una salvaguarda. Por lo tanto, la explotación de esta vulnerabilidad podría ser efectiva incluso en entornos que consideran tener practicidad en la seguridad.
La buena noticia es que, ante la gravedad de esta situación, el equipo de Pytorch ha actuado de manera rápida y eficaz. Ya está disponible una versión corregida, la 2.6.0, que soluciona esta crítica vulnerabilidad. Por ello, es fundamental que todos los desarrolladores actualicen su instalación de Pytorch a esta versión o a versiones superiores para mitigar el riesgo de explotación.
Actualizar Pytorch a la versión 2.6.0 o superior es un paso necesario y urgente. Los usuarios pueden hacerlo fácilmente utilizando herramientas como PIP.
Ante el creciente uso de estrategias de inteligencia artificial y el papel preponderante que desempeñan frameworks como Pytorch, la atención a las vulnerabilidades de seguridad es más crucial que nunca. Con un marco tan popular al borde de una crisis de seguridad, es vital que todos los desarrolladores y organizaciones que utilizan Pytorch tomen las medidas necesarias para protegerse, aplicando las actualizaciones de manera oportuna y revisando sus prácticas de seguridad.
Este incidente es un recordatorio de que, en el mundo del desarrollo tecnológico, la seguridad nunca debe ser subestimada y que siempre es fundamental mantenerse informado sobre las últimas actualizaciones y mejores prácticas en ciberseguridad. La colaboración continua entre desarrolladores, investigadores de seguridad y comunidades tecnológicas puede ayudar a prevenir futuras vulnerabilidades y proteger a los usuarios de posibles explotaciones maliciosas.
Enlace de la fuente, haz clic para tener más información