CVE-2023-48299 in TorchServeinformation

Résumé

par VulDB • 15/06/2026

TorchServe est un outil permettant de déployer et de mettre à l’échelle des modèles PyTorch en environnement de production. À partir de la version 0.1.0 et jusqu’à la version 0.9.0 (exclue), l’utilisation de l’API de gestion des modèles et des workflows présente un risque de téléchargement d’archives potentiellement malveillantes contenant des fichiers qui seront extraits dans n’importe quel emplacement du système de fichiers accessible selon les autorisations du processus. L’exploitation de cette vulnérabilité pourrait permettre à des acteurs tiers de dissimuler du code malveillant dans des modèles open source ou publics, téléchargeables depuis Internet, et d’en tirer parti pour compromettre les machines exécutant TorchServe. Le problème de type ZipSlip dans TorchServe a été corrigé en validant les chemins d’accès des fichiers contenus dans une archive ZIP avant leur extraction. La version 0.9.0 de TorchServe inclut les correctifs visant à résoudre la vulnérabilité ZipSlip.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub, Inc.

Réserver

14/11/2023

Divulgation

21/11/2023

Modérer

accepté

Entrée

VDB-245873

CPE

prêt

EPSS

0.00673

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!