CVE-2026-35044 in BentoML
요약
\~에 의해 VulDB • 2026. 06. 15.
BentoML은 AI 애플리케이션 및 모델 추론에 최적화된 온라인 서빙 시스템을 구축하기 위한 Python 라이브러리입니다. 버전 1.4.38 이전의 `src/bentoml/_internal/container/generate.py`에 있는 Dockerfile 생성 함수인 `generate_containerfile()`는 샌드박스 처리되지 않은 jinja2.Environment와 jinja2.ext.do 확장을 사용하여 사용자가 제공한 dockerfile_template 파일을 렌더링합니다. 피해자가 악성 bento 아카이브를 가져오고 bentoml containerize 명령을 실행하면, 공격자가 제어하는 Jinja2 템플릿 코드가 컨테이너 격리를 우회하여 호스트 머신에서 임의의 Python 코드를 직접 실행합니다. 이 취약점은 1.4.38에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.