CVE-2026-33744 in BentoMLinformazioni

Riassunto

di VulDB • 15/06/2026

BentoML è una libreria Python per la creazione di sistemi di serving online ottimizzati per applicazioni AI e inferenza dei modelli. Prima della versione 1.4.37, il campo `docker.system_packages` in `bentofile.yaml` accetta stringhe arbitrarie che vengono interpolate direttamente nei comandi `RUN` del Dockerfile senza alcuna sanificazione. Poiché `system_packages` ha semanticamente la natura di un elenco di nomi di pacchetti OS (dati), gli utenti non si aspettano che i valori vengano interpretati come comandi shell. Un file `bentofile.yaml` malevolo consente l'esecuzione arbitraria di comandi durante le operazioni `bentoml containerize` / `docker build`. La versione 1.4.37 risolve il problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00257

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!