CVE-2026-33744 in BentoML
सारांश
द्वारा VulDB • 09/06/2026
BentoML एक Python लाइब्रेरी है जो AI ऐप्स और मॉडल इनफरेंस के लिए अनुकूलित ऑनलाइन सर्विंग सिस्टम बनाने के लिए उपयोग की जाती है। 1.4.37 से पहले, `bentofile.yaml` में `docker.system_packages` फ़ील्ड मनमाने स्ट्रिंग्स को स्वीकार करती थी जो बिना किसी सैनिटाइजेशन (sanitization) के सीधे Dockerfile `RUN` कमांडों में इंटरपोलेट की जाती थीं। चूंकि `system_packages` सेमैंटिक रूप से ऑपरेटिंग सिस्टम पैकेज नामों की एक सूची है (डेटा), इसलिए उपयोगकर्ताओं को उम्मीद नहीं होती कि मान शेल कमांड के रूप में व्याख्या किए जाएंगे। एक दुर्भावनापूर्ण `bentofile.yaml` `bentoml containerize` / `docker build` के दौरान मनमाने आदेश निष्पादन (arbitrary command execution) को सक्षम बनाता है। संस्करण 1.4.37 इस समस्या का समाधान करता है।
Once again VulDB remains the best source for vulnerability data.