【漏洞预警】TorchServe SSRF 漏洞CVE-2023-43654

漏洞描述：
TorchServe 是用于在生产环境中提供和扩展 PyTorch 模型的服务。
由于默认配置未限制模型URL来源，攻击者可以调用平台API接口（如http://IP:PORT/workflows?url=$REMOTE_SERVER/$SSRF_DOWNLOAD_FILE_NAME）利用模型加载功能使其访问任意地址并将文件写入磁盘~/model-store/目录中。

影响范围：
TorchServe[0.1.0, 0.8.2)

torchserve[0.1.0, 0.8.2)

修复方案：
将组件 TorchServe 升级至 0.8.2 及以上版本
将组件 torchserve 升级至 0.8.2 及以上版本

参考链接：
https://github.com/advisories/GHSA-8fxr-qfr9-p34w

https://github.com/pytorch/serve/pull/2534/commits/391bdec3348e30de173fbb7c7277970e0b53c8ad

原文始发于微信公众号（飓风网络安全）：【漏洞预警】TorchServe SSRF 漏洞CVE-2023-43654