CVE-2023-48299 in TorchServe
Sumário
de VulDB • 23/06/2026
O TorchServe é uma ferramenta para servir e dimensionar modelos PyTorch em produção. A partir da versão 0.1.0 até antes da versão 0.9.0, ao usar a API de gerenciamento de modelo/workflow, há o risco de fazer upload de arquivos compactados potencialmente prejudiciais que contêm arquivos extraídos para qualquer local no sistema de arquivos permitido pelas permissões do processo. Aproveitar essa falha pode ajudar atores externos a ocultar código malicioso em modelos open-source/públicos, que podem ser baixados da internet, e explorar máquinas executando o TorchServe. O problema ZipSlip no TorchServe foi corrigido validando os caminhos dos arquivos contidos dentro de um arquivo zip antes de extraí-los. A versão 0.9.0 do TorchServe inclui correções para abordar a vulnerabilidade ZipSlip.
If you want to get best quality of vulnerability data, you may have to visit VulDB.