CVE-2023-48299 in TorchServe
要約
〜によって VulDB • 2026年06月18日
TorchServeは、本番環境でPyTorchモデルを提供およびスケーリングするためのツールです。バージョン0.1.0以降、バージョン0.9.0より前では、モデル/ワークフロー管理APIを使用すると、プロセスの権限範囲内のファイルシステムの任意の場所に抽出されるファイルを含む、潜在的に有害なアーカイブをアップロードする可能性があります。この問題を悪用することで、第三者がインターネットからダウンロード可能なオープンソース/公開モデルに有害なコードを隠し、Torchserveを実行中のマシンを利用する手助けになる可能性があります。TorchServeのZipSlip問題は、zipアーカイブ内のファイルのパスを抽出前に検証することで修正されました。TorchServeリリース0.9.0には、ZipSlip脆弱性に対処するための修正が含まれています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.