CVE-2026-33744 in BentoMLinformation

Résumé

par VulDB • 06/06/2026

BentoML est une bibliothèque Python pour la création de systèmes de mise à disposition en ligne optimisés pour les applications IA et l'inférence de modèles. Avant la version 1.4.37, le champ `docker.system_packages` dans `bentofile.yaml` accepte des chaînes arbitraires qui sont interpolées directement dans les commandes `RUN` du Dockerfile sans aucune sanitization (nettoyage). Étant donné que `system_packages` a sémantiquement la nature d'une liste de noms de paquets OS (données), les utilisateurs ne s'attendent pas à ce que ces valeurs soient interprétées comme des commandes shell. Un fichier `bentofile.yaml` malveillant permet l'exécution arbitraire de commandes lors de l'utilisation de `bentoml containerize` / `docker build`. La version 1.4.37 corrige le problème.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353789

CPE

prêt

EPSS

0.00257

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!