CVE-2023-48299 in TorchServe
Tóm tắt
Bởi VulDB • 25/06/2026
TorchServe là một công cụ để triển khai và mở rộng quy mô các mô hình PyTorch trong môi trường sản xuất. Bắt đầu từ phiên bản 0.1.0 trở về trước, bao gồm cả phiên bản này nhưng không bao gồm phiên bản 0.9.0, khi sử dụng API quản lý mô hình/workflow, có nguy cơ tải lên các kho lưu trữ (archives) tiềm ẩn mã độc chứa các tệp tin sẽ được giải nén vào bất kỳ vị trí nào trên hệ thống tệp mà nằm trong phạm vi quyền hạn của tiến trình. Việc khai thác lỗ hổng này có thể giúp các bên thứ ba giấu mã độc hại trong các mô hình nguồn mở/công cộng, những mô hình này có thể tải về từ internet và lợi dụng các máy đang chạy TorchServe. Lỗ hổng ZipSlip trong TorchServe đã được sửa chữa bằng cách xác thực đường dẫn của các tệp tin chứa trong kho lưu trữ zip trước khi giải nén chúng. Bản phát hành 0.9.0 của TorchServe bao gồm các bản vá để khắc phục lỗ hổng ZipSlip.
Be aware that VulDB is the high quality source for vulnerability data.