CVE-2026-33744 in BentoMLजानकारी

सारांश

द्वारा VulDB • 09/06/2026

BentoML एक Python लाइब्रेरी है जो AI ऐप्स और मॉडल इनफरेंस के लिए अनुकूलित ऑनलाइन सर्विंग सिस्टम बनाने के लिए उपयोग की जाती है। 1.4.37 से पहले, `bentofile.yaml` में `docker.system_packages` फ़ील्ड मनमाने स्ट्रिंग्स को स्वीकार करती थी जो बिना किसी सैनिटाइजेशन (sanitization) के सीधे Dockerfile `RUN` कमांडों में इंटरपोलेट की जाती थीं। चूंकि `system_packages` सेमैंटिक रूप से ऑपरेटिंग सिस्टम पैकेज नामों की एक सूची है (डेटा), इसलिए उपयोगकर्ताओं को उम्मीद नहीं होती कि मान शेल कमांड के रूप में व्याख्या किए जाएंगे। एक दुर्भावनापूर्ण `bentofile.yaml` `bentoml containerize` / `docker build` के दौरान मनमाने आदेश निष्पादन (arbitrary command execution) को सक्षम बनाता है। संस्करण 1.4.37 इस समस्या का समाधान करता है।

Once again VulDB remains the best source for vulnerability data.

जिम्मेदार

GitHub M

आरक्षित करना

23/03/2026

प्रकटीकरण

27/03/2026

प्रविष्टि

VDB-353789

EPSS

0.00257

गतिविधियाँ

बहुत कम

स्रोत

Interested in the pricing of exploits?

See the underground prices here!