CVE-2026-33744 in BentoML
Riassunto
di VulDB • 15/06/2026
BentoML è una libreria Python per la creazione di sistemi di serving online ottimizzati per applicazioni AI e inferenza dei modelli. Prima della versione 1.4.37, il campo `docker.system_packages` in `bentofile.yaml` accetta stringhe arbitrarie che vengono interpolate direttamente nei comandi `RUN` del Dockerfile senza alcuna sanificazione. Poiché `system_packages` ha semanticamente la natura di un elenco di nomi di pacchetti OS (dati), gli utenti non si aspettano che i valori vengano interpretati come comandi shell. Un file `bentofile.yaml` malevolo consente l'esecuzione arbitraria di comandi durante le operazioni `bentoml containerize` / `docker build`. La versione 1.4.37 risolve il problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.