CVE-2026-35044 in BentoMLالمعلومات

الملخص

بحسب VulDB • 15/06/2026

BentoML هي مكتبة بايثون لبناء أنظمة تقديم عبر الإنترنت (online serving systems) مُحسّنة لتطبيقات الذكاء الاصطناعي واستدلال النماذج. قبل الإصدار 1.4.38، تستخدم دالة إنشاء ملف Docker `generate_containerfile()` الموجودة في المسار `src/bentoml/_internal/container/generate.py` كائن `jinja2.Environment` غير محمي (unsandboxed) مع الامتداد `jinja2.ext.do` لعرض ملفات قوالب dockerfile_template التي يوفرها المستخدم. عندما يستورد ضحية أرشيف bento خبيث ويشغل الأمر `bentoml containerize`، فإن كود قالب Jinja2 الذي يتحكم فيه المهاجم ينفذ أوامر بايثون عشوائية مباشرة على الجهاز المضيف، متجاوزاً جميع عزلات الحاويات (container isolation). تم إصلاح هذا الثغرة الأمنية في الإصدار 1.4.38.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355619

EPSS

0.00392

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!