漏洞名称:
TorchServe 服务器端请求伪造漏洞(CVE-2023-43654)
组件名称:
TorchServe
影响范围:
TorchServe < 0.8.2
漏洞类型:
服务器端请求伪造
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知
<综合评定威胁等级>:高危,能造成远程代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
TorchServe是一个用于部署PyTorch模型的开源模型服务器。它提供了一个简单的方式来部署、管理和扩展PyTorch模型,使得开发人员可以快速地将模型部署到生产环境中。
漏洞简介
2023年10月7日,深信服安全团队监测到一则TorchServe组件存在服务器端请求伪造漏洞的信息,漏洞编号:CVE-2023-43654,漏洞威胁等级:高危。
该漏洞是由于默认配置缺少输入验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行请求伪造攻击,最终在目标系统中写入恶意文件。
影响范围
目前受影响的TorchServe版本:
TorchServe < 0.8.2
解决方案
修复建议
1.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/pytorch/serve/releases/tag/v0.8.2
参考链接
https://github.com/pytorch/serve/security/advisories/GHSA-8fxr-qfr9-p34w
时间轴
2023/10/7
深信服监测到TorchServe 服务器端请求伪造漏洞(CVE-2023-43654)攻击信息。
2023/10/7
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】TorchServe 服务器端请求伪造漏洞CVE-2023-43654
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论