CVE-2026-33744 in BentoMLالمعلومات

الملخص

بحسب VulDB • 22/05/2026

BentoML هي مكتبة بايثون لبناء أنظمة تقديم عبر الإنترنت (online serving systems) مُحسّنة لتطبيقات الذكاء الاصطناعي واستدلال النماذج (model inference). قبل الإصدار 1.4.37، يقبل الحقل `docker.system_packages` في ملف `bentofile.yaml` سلاسل نصية عشوائية يتم دمجها مباشرةً أوامر `RUN` في ملف Dockerfile دون أي تنقية (sanitization). وبما أن `system_packages` يُقصد به من الناحية الدلالية قائمة بأسماء حزم نظام التشغيل (بيانات)، فإن المستخدمين لا يتوقعون أن تُفسَّر القيم كأوامر قشرة (shell commands). يمكن لملف `bentofile.yaml` خبيث تحقيق تنفيذ أوامر عشوائية أثناء تشغيل `bentoml containerize` أو `docker build`. يُصلح الإصدار 1.4.37 هذه المشكلة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353789

EPSS

0.00257

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!