CVE-2023-48299 in TorchServeinformação

Sumário

de VulDB • 23/06/2026

O TorchServe é uma ferramenta para servir e dimensionar modelos PyTorch em produção. A partir da versão 0.1.0 até antes da versão 0.9.0, ao usar a API de gerenciamento de modelo/workflow, há o risco de fazer upload de arquivos compactados potencialmente prejudiciais que contêm arquivos extraídos para qualquer local no sistema de arquivos permitido pelas permissões do processo. Aproveitar essa falha pode ajudar atores externos a ocultar código malicioso em modelos open-source/públicos, que podem ser baixados da internet, e explorar máquinas executando o TorchServe. O problema ZipSlip no TorchServe foi corrigido validando os caminhos dos arquivos contidos dentro de um arquivo zip antes de extraí-los. A versão 0.9.0 do TorchServe inclui correções para abordar a vulnerabilidade ZipSlip.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub, Inc.

Reservar

14/11/2023

Divulgação

21/11/2023

Moderação

aceite

Entrada

VDB-245873

CPE

pronto

EPSS

0.00673

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!