遠端 Web 伺服器主控了一個 ZenML Web 應用程式

遠端主機上的 torchserve 版本為 2.11.3 之前的版本。因此，它受到 api/cors 端點中的伺服器端要求偽造弱點影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機正在執行 NextChat webapp。

遠端 Web 伺服器主控 H2O Flow Web 應用程式

遠端主機包含刻意缺少驗證功能的 Ray 儀表板。因此，其會受到作業 API 端點中一個遠端程式碼執行弱點的影響。

遠端 Web 伺服器連接埠為 TorchServe 應用程式。

遠端主機上的 torchserve 版本為 0.8.2 之前的版本。因此會受到伺服器端要求僞造弱點影響。TorchServe 預設組態缺少正確的輸入驗證，進而允許第三方叫用遠端 HTTP 下載要求，並可將檔案寫入磁碟。攻擊者可利用此問題來侵害系統完整性和敏感資料。此問題存在於 0.1.0 至 0.8.1 版本中。遠端攻擊者可利用此弱點，從任意 URL 載入所選的惡意模型。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上的 torchserve 版本為 0.8.2 之前的版本。因此會受到伺服器端要求僞造弱點影響。TorchServe 預設組態缺少正確的輸入驗證，進而允許第三方叫用遠端 HTTP 下載要求，並可將檔案寫入磁碟。攻擊者可利用此問題來侵害系統完整性和敏感資料。此問題存在於 0.1.0 至 0.8.1 版本中。遠端攻擊者可利用此弱點，從任意 URL 載入所選的惡意模型。

ID	名稱	嚴重性
194954	ZenML 偵測	info
194720	NextChat < 2.11.3 SSRF	critical
194719	NextChat / ChatGPT Next Web 偵測	info
194478	H2O Flow 偵測	info
193561	Ray Dashboard 作業 RCE (CVE-2023-48022)	critical
193560	Ray Dashboard 偵測	info
184082	PyTorch TorchServe API 偵測	info
184081	PyTorch TorchServe < 0.8.2 伺服器端要求偽造 (SSRF)	critical
184080	PyTorch TorchServe SSRF (CVE-2023-43654)	critical

偵測

Nessus 的 Artificial Intelligence 系列

info

critical

info

info

critical

info

info

critical

critical