CVE-2023-48299 in TorchServethông tin

Tóm tắt

Bởi VulDB • 25/06/2026

TorchServe là một công cụ để triển khai và mở rộng quy mô các mô hình PyTorch trong môi trường sản xuất. Bắt đầu từ phiên bản 0.1.0 trở về trước, bao gồm cả phiên bản này nhưng không bao gồm phiên bản 0.9.0, khi sử dụng API quản lý mô hình/workflow, có nguy cơ tải lên các kho lưu trữ (archives) tiềm ẩn mã độc chứa các tệp tin sẽ được giải nén vào bất kỳ vị trí nào trên hệ thống tệp mà nằm trong phạm vi quyền hạn của tiến trình. Việc khai thác lỗ hổng này có thể giúp các bên thứ ba giấu mã độc hại trong các mô hình nguồn mở/công cộng, những mô hình này có thể tải về từ internet và lợi dụng các máy đang chạy TorchServe. Lỗ hổng ZipSlip trong TorchServe đã được sửa chữa bằng cách xác thực đường dẫn của các tệp tin chứa trong kho lưu trữ zip trước khi giải nén chúng. Bản phát hành 0.9.0 của TorchServe bao gồm các bản vá để khắc phục lỗ hổng ZipSlip.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

14/11/2023

Tiết lộ

21/11/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00673

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!