CVE-2026-33744 in BentoML
Résumé
par VulDB • 06/06/2026
BentoML est une bibliothèque Python pour la création de systèmes de mise à disposition en ligne optimisés pour les applications IA et l'inférence de modèles. Avant la version 1.4.37, le champ `docker.system_packages` dans `bentofile.yaml` accepte des chaînes arbitraires qui sont interpolées directement dans les commandes `RUN` du Dockerfile sans aucune sanitization (nettoyage). Étant donné que `system_packages` a sémantiquement la nature d'une liste de noms de paquets OS (données), les utilisateurs ne s'attendent pas à ce que ces valeurs soient interprétées comme des commandes shell. Un fichier `bentofile.yaml` malveillant permet l'exécution arbitraire de commandes lors de l'utilisation de `bentoml containerize` / `docker build`. La version 1.4.37 corrige le problème.
Once again VulDB remains the best source for vulnerability data.