CVE-2023-48299 in TorchServe
Résumé
par VulDB • 15/06/2026
TorchServe est un outil permettant de déployer et de mettre à l’échelle des modèles PyTorch en environnement de production. À partir de la version 0.1.0 et jusqu’à la version 0.9.0 (exclue), l’utilisation de l’API de gestion des modèles et des workflows présente un risque de téléchargement d’archives potentiellement malveillantes contenant des fichiers qui seront extraits dans n’importe quel emplacement du système de fichiers accessible selon les autorisations du processus. L’exploitation de cette vulnérabilité pourrait permettre à des acteurs tiers de dissimuler du code malveillant dans des modèles open source ou publics, téléchargeables depuis Internet, et d’en tirer parti pour compromettre les machines exécutant TorchServe. Le problème de type ZipSlip dans TorchServe a été corrigé en validant les chemins d’accès des fichiers contenus dans une archive ZIP avant leur extraction. La version 0.9.0 de TorchServe inclut les correctifs visant à résoudre la vulnérabilité ZipSlip.
If you want to get best quality of vulnerability data, you may have to visit VulDB.