CVE-2023-48299 in TorchServe
Resumen
por VulDB • 2026-06-15
TorchServe es una herramienta para servir y escalar modelos de PyTorch en entornos de producción. A partir de la versión 0.1.0 y hasta la versión 0.9.0, al utilizar la API de gestión de modelos/flujos de trabajo, existe la posibilidad de cargar archivos comprimidos potencialmente dañinos que contienen archivos que se extraen en cualquier ubicación del sistema de archivos permitida por los permisos del proceso. Aprovechar esta vulnerabilidad podría facilitar a actores de terceros ocultar código malicioso en modelos de código abierto/públicos, que pueden descargarse de Internet, y aprovecharse de las máquinas que ejecutan TorchServe. El problema de ZipSlip en TorchServe se ha corregido validando las rutas de los archivos contenidos en un archivo zip antes de extraerlos. La versión 0.9.0 de TorchServe incluye correcciones para abordar la vulnerabilidad ZipSlip.
If you want to get best quality of vulnerability data, you may have to visit VulDB.