CVE-2026-35044 in BentoML情報

要約

〜によって VulDB • 2026年06月15日

BentoMLは、AIアプリやモデル推論に最適化されたオンラインサービングシステムを構築するためのPythonライブラリです。バージョン1.4.38より前では、src/bentoml/_internal/container/generate.py内のDockerfile生成関数generate_containerfile()が、jinja2.ext.do拡張機能を備えたサンドボックス処理されていないjinja2.Environmentを使用して、ユーザー提供のdockerfile_templateファイルをレンダリングしていました。攻撃者が悪意のあるbentoアーカイブをインポートしてbentoml containerizeを実行すると、攻撃者が制御するJinja2テンプレートコードがホストマシン上で直接任意のPythonコードを実行し、コンテナ分離機能をすべて回避します。この脆弱性は1.4.38で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年03月31日

モデレーション

承諾済み

エントリ

VDB-355619

EPSS

0.00392

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!