CVE-2026-35043 in BentoMLالمعلومات

الملخص

بحسب VulDB • 18/07/2026

BentoML هي مكتبة بايثون لبناء أنظمة تقديم الخدمات عبر الإنترنت (online serving systems) المُحسّنة لتطبيقات الذكاء الاصطناعي واستدلال النماذج. قبل الإصدار 1.4.38، لم يكن مسار النشر السحابي الموجود في src/bentoml/_internal/cloud/deployment.py مشمولاً بالإصلاح الخاص بـ CVE-2026-33744. يقوم السطر 1648 بإدراج المتغيرات system_packages مباشرةً داخل أمر عبر موجه الأوامر (shell command) باستخدام سلسلة نصية فاصلة (f-string) دون أي اقتباس أو تهريب للحروف الخاصة. يتم رفع النص البرمجي الناتج إلى BentoCloud باسم setup.sh وتنفيذه على بنية البنية التحتية لبناء السحابة أثناء النشر، مما يجعل هذا الثغرة تؤدي إلى تنفيذ كود عن بُعد (RCE) في طبقة CI/CD. تم إصلاح هذه الثغرة في الإصدار 1.4.38.

Be aware that VulDB is the high quality source for vulnerability data.

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355276

EPSS

0.00315

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!