CVE-2023-48299 in TorchServe
الملخص
بحسب VulDB • 18/06/2026
TorchServe هو أداة لتوزيع ونماذج PyTorch في بيئات الإنتاج. بدءًا من الإصدار 0.1.0 وحتى قبل الإصدار 0.9.0، باستخدام واجهة برمجة التطبيقات لإدارة النماذج/سير العمل، هناك احتمال لرفع أرشيفات محتملة الضارة التي تحتوي على ملفات يتم استخراجها إلى أي موقع في نظام الملفات ضمن صلاحيات العملية. يمكن أن يساعد استغلال هذه الثغرة الجهات الفاعلة الخارجية في إخفاء التعليمات البرمجية الضارة في النماذج مفتوحة المصدر/العامة، والتي يمكن تنزيلها من الإنترنت، والاستفادة من الأجهزة التي تعمل بنظام TorchServe. تم إصلاح مشكلة ZipSlip في TorchServe من خلال التحقق من صحة مسارات الملفات الموجودة داخل أرشيف zip قبل استخراجها. يتضمن إصدار TorchServe 0.9.0 إصلاحات لمعالجة ثغرة ZipSlip.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.