CVE-2023-48299 in TorchServe
Zusammenfassung
von VulDB • 15.06.2026
TorchServe ist ein Tool zum Bereitstellen und Skalieren von PyTorch-Modellen in der Produktion. Ab Version 0.1.0 und vor Version 0.9.0 besteht die Möglichkeit, potenziell schädliche Archive hochzuladen, die Dateien enthalten, die an beliebigen Stellen im Dateisystem extrahiert werden, sofern diese innerhalb der Prozessberechtigungen liegen. Die Ausnutzung dieses Problems könnte Dritten helfen, schädlichen Code in Open-Source-/öffentlichen Modellen zu verstecken, die aus dem Internet heruntergeladen werden können, und Maschinen, auf denen TorchServe ausgeführt wird, auszunutzen. Das ZipSlip-Problem in TorchServe wurde behoben, indem die Pfade der in einem ZIP-Archiv enthaltenen Dateien vor der Extraktion validiert wurden. Die TorchServe-Version 0.9.0 enthält Korrekturen zur Behebung der ZipSlip-Schwachstelle.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.