TorchServe 绕过 allowed_urls 配置(CVE-2024-35198)

admin
admin
admin
0
文章
0
评论
2024-08-05 14:34:14 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
TorchServe 绕过 allowed_urls 配置(CVE-2024-35198)

CVE编号

CVE-2024-35198

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-19
漏洞描述
TorchServe是一个灵活易用的工具,用于在生产环境中部署和扩展PyTorch模型。TorchServe的allowed_urls配置检查可以通过包含“..”等字符的URL绕过,但这并不会阻止模型被下载到模型存储库。一旦文件被下载,第二次引用时无需提供URL,这有效地绕过了allowed_urls安全检查。使用Amazon SageMaker和EKS通过PyTorch推理深度学习容器(DLC)的客户不受影响。TorchServe已经通过下载前验证不包含“..”等字符的URL来解决这个问题,详见PR #3082。TorchServe 0.11.0版本包括修复此漏洞的修复程序。建议用户进行升级。目前没有此漏洞的已知解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/pytorch/serve/pull/3082
https://github.com/pytorch/serve/releases/tag/v0.11.0
https://github.com/pytorch/serve/security/advisories/GHSA-wxcx-gg9c-fwp2
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0