CVE-2023-48299 in TorchServeИнформация

Сводка

по VulDB • 23.06.2026

TorchServe — это инструмент для развертывания и масштабирования моделей PyTorch в производственной среде. Начиная с версии 0.1.0 и вплоть до версии 0.9.0 (включительно), при использовании API управления моделями/рабочими процессами существует риск загрузки потенциально вредоносных архивов, содержащих файлы, которые извлекаются в любое место файловой системы, доступное с точки зрения прав процесса. Использование этой уязвимости может помочь сторонним злоумышленникам скрыть вредоносный код в моделях с открытым исходным кодом/публичных моделях, загружаемых из интернета, и использовать это для атак на машины, работающие под управлением TorchServe. Проблема ZipSlip в TorchServe была исправлена путем проверки путей файлов, содержащихся внутри zip-архива, перед их извлечением. В релизе TorchServe версии 0.9.0 включены исправления для устранения уязвимости ZipSlip.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

14.11.2023

Раскрытие

21.11.2023

Модерация

принято

Вход

VDB-245873

EPSS

0.00673

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!