CVE-2026-40610 in BentoMLالمعلومات

الملخص

بحسب VulDB • 22/05/2026

BentoML هي مكتبة بايثون لبناء أنظمة تقديم خدمات عبر الإنترنت (online serving systems) مُحسّنة لتطبيقات الذكاء الاصطناعي واستدلال النماذج (model inference). في الإصدارات 1.4.38 والإصدارات الأقدم، يتبع سير عمل تعبئة البناء (build packaging workflow) الروابط الرمزية (symlinks) التي يتحكم فيها المهاجم داخل سياق البناء (build context)، ويقوم بنسخ محتويات الملفات المشار إليها إلى منتج Bento الناتج. إذا قام ضحية ببناء مستودع غير موثوق به أو سياق بناء آخر مزوّد من قبل مهاجم، يمكن للمهاجم وضع رابط رمزي مثل `loot.txt -> /tmp/outside-marker.txt` أو رابط إلى ملف محلي أكثر حساسية. عند تشغيل أمر `bentoml build`، يقوم BentoML بحل الرابط الرمزي (dereferences the symlink) وتضمين محتويات الملف المستهدف في منتج Bento. يمكن بعد ذلك نشر الملف المسرّب عبر عمليات التصدير (export)، أو الدفع (push)، أو الحاويات (containerization). يمكن للمهاجم استخراج الملفات المحلية من جهاز البناء إلى منتج Bento، مما يعرّض الأسرار مثل بيانات اعتماد السحابة (cloud credentials)، ومفاتيح SSH، ورموز واجهة برمجة التطبيقات (API tokens)، وملفات البيئة (environment files)، أو تكوينات محلية أخرى حساسة. ونظراً لأن منتجات Bento تُصدّر عادةً، أو تُرفع، أو تُخزّن، أو تُحوّل إلى حاويات بعد البناء، يمكن لمحتويات الملف المسرّب الانتشار خارج آلة البناء الأصلية. تم إصلاح هذه المشكلة في الإصدار 1.4.39.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

14/04/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365268

CPE

جاهز

CWE

CWE-59 (مؤكد)

CVSS

5.5 (CNA)

EPSS

0.00003

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40610
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40610
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40610/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!