CVE-2026-35043 in BentoMLinformazioni

Riassunto

di VulDB • 18/07/2026

BentoML è una libreria Python per la creazione di sistemi di serving online ottimizzati per applicazioni AI e inferenza dei modelli. Prima della versione 1.4.38, il percorso di distribuzione cloud in src/bentoml/_internal/cloud/deployment.py non era incluso nella correzione relativa a CVE-2026-33744. Alla riga 1648 vengono interpolati i system_packages direttamente all'interno di un comando shell utilizzando una f-string senza alcuna quotatura (quoting). Lo script generato viene caricato su BentoCloud come setup.sh ed eseguito sull'infrastruttura di build cloud durante la distribuzione, rendendo questa vulnerabilità causa di Remote Code Execution (RCE) a livello del tier CI/CD. Questa vulnerabilità è stata corretta nella versione 1.4.38.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00315

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!