CVE-2026-33744 in BentoMLinformación

Resumen

por VulDB • 2026-06-06

BentoML es una biblioteca de Python para la creación de sistemas de servicio en línea optimizados para aplicaciones de IA e inferencia de modelos. Antes de la versión 1.4.37, el campo `docker.system_packages` en `bentofile.yaml` acepta cadenas arbitrarias que se interpolan directamente en los comandos `RUN` del Dockerfile sin sanitización. Dado que `system_packages` tiene semánticamente una lista de nombres de paquetes del sistema operativo (datos), los usuarios no esperan que los valores sean interpretados como comandos de shell. Un archivo `bentofile.yaml` malicioso logra la ejecución arbitraria de comandos durante `bentoml containerize` / `docker build`. La versión 1.4.37 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353789

CPE

listo

EPSS

0.00257

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!