CVE-2023-48299 in TorchServeinfo

Zusammenfassung

von VulDB • 15.06.2026

TorchServe ist ein Tool zum Bereitstellen und Skalieren von PyTorch-Modellen in der Produktion. Ab Version 0.1.0 und vor Version 0.9.0 besteht die Möglichkeit, potenziell schädliche Archive hochzuladen, die Dateien enthalten, die an beliebigen Stellen im Dateisystem extrahiert werden, sofern diese innerhalb der Prozessberechtigungen liegen. Die Ausnutzung dieses Problems könnte Dritten helfen, schädlichen Code in Open-Source-/öffentlichen Modellen zu verstecken, die aus dem Internet heruntergeladen werden können, und Maschinen, auf denen TorchServe ausgeführt wird, auszunutzen. Das ZipSlip-Problem in TorchServe wurde behoben, indem die Pfade der in einem ZIP-Archiv enthaltenen Dateien vor der Extraktion validiert wurden. Die TorchServe-Version 0.9.0 enthält Korrekturen zur Behebung der ZipSlip-Schwachstelle.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

14.11.2023

Veröffentlichung

21.11.2023

Moderieren

akzeptiert

Eintrag

VDB-245873

CPE

bereit

EPSS

0.00673

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!