ГлавнаяБаза уязвимостей БДУ → BDU:2023-06445
6.4высокая

BDU:2023-06445

Уязвимость конфигурации allowed_urls инструмента для обслуживания и масштабирования моделей машинного обучения PyTorch TorchServe, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2023-10-10
Описание

Уязвимость конфигурации allowed_urls инструмента для обслуживания и масштабирования моделей машинного обучения PyTorch TorchServe связана с недостаточной проверкой поступающих запросов при проверке URL-адресов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
TorchServe (от 0.1.0 до 0.8.2)
Способ устранения

Использование рекомендаций:
https://github.com/pytorch/serve/releases/tag/v0.8.2
https://github.com/pytorch/serve/security/advisories/GHSA-8fxr-qfr9-p34w
https://github.com/pytorch/serve/pull/2534

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://github.com/pytorch/serve/pull/2534https://github.com/pytorch/serve/releases/tag/v0.8.2https://github.com/pytorch/serve/security/advisories/GHSA-8fxr-qfr9-p34whttps://vuldb.com/ru/?id.240857http://packetstormsecurity.com/files/175095/PyTorch-Model-Server-Registration-Deserialization-Remote-Code-Execution.html
Проверьте безопасность своего сайта и почты → Полная проверка домена