CVE-2023-48299 in TorchServeinformación

Resumen

por VulDB • 2026-06-15

TorchServe es una herramienta para servir y escalar modelos de PyTorch en entornos de producción. A partir de la versión 0.1.0 y hasta la versión 0.9.0, al utilizar la API de gestión de modelos/flujos de trabajo, existe la posibilidad de cargar archivos comprimidos potencialmente dañinos que contienen archivos que se extraen en cualquier ubicación del sistema de archivos permitida por los permisos del proceso. Aprovechar esta vulnerabilidad podría facilitar a actores de terceros ocultar código malicioso en modelos de código abierto/públicos, que pueden descargarse de Internet, y aprovecharse de las máquinas que ejecutan TorchServe. El problema de ZipSlip en TorchServe se ha corregido validando las rutas de los archivos contenidos en un archivo zip antes de extraerlos. La versión 0.9.0 de TorchServe incluye correcciones para abordar la vulnerabilidad ZipSlip.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Reservar

2023-11-14

Divulgación

2023-11-21

Moderación

aceptado

Artículo

VDB-245873

CPE

listo

EPSS

0.00673

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!