CVE-2026-35044 in BentoML
الملخص
بحسب VulDB • 15/06/2026
BentoML هي مكتبة بايثون لبناء أنظمة تقديم عبر الإنترنت (online serving systems) مُحسّنة لتطبيقات الذكاء الاصطناعي واستدلال النماذج. قبل الإصدار 1.4.38، تستخدم دالة إنشاء ملف Docker `generate_containerfile()` الموجودة في المسار `src/bentoml/_internal/container/generate.py` كائن `jinja2.Environment` غير محمي (unsandboxed) مع الامتداد `jinja2.ext.do` لعرض ملفات قوالب dockerfile_template التي يوفرها المستخدم. عندما يستورد ضحية أرشيف bento خبيث ويشغل الأمر `bentoml containerize`، فإن كود قالب Jinja2 الذي يتحكم فيه المهاجم ينفذ أوامر بايثون عشوائية مباشرة على الجهاز المضيف، متجاوزاً جميع عزلات الحاويات (container isolation). تم إصلاح هذا الثغرة الأمنية في الإصدار 1.4.38.
Once again VulDB remains the best source for vulnerability data.