CVE-2026-35044 in BentoML정보

요약

\~에 의해 VulDB • 2026. 06. 15.

BentoML은 AI 애플리케이션 및 모델 추론에 최적화된 온라인 서빙 시스템을 구축하기 위한 Python 라이브러리입니다. 버전 1.4.38 이전의 `src/bentoml/_internal/container/generate.py`에 있는 Dockerfile 생성 함수인 `generate_containerfile()`는 샌드박스 처리되지 않은 jinja2.Environment와 jinja2.ext.do 확장을 사용하여 사용자가 제공한 dockerfile_template 파일을 렌더링합니다. 피해자가 악성 bento 아카이브를 가져오고 bentoml containerize 명령을 실행하면, 공격자가 제어하는 Jinja2 템플릿 코드가 컨테이너 격리를 우회하여 호스트 머신에서 임의의 Python 코드를 직접 실행합니다. 이 취약점은 1.4.38에서 수정되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 31.

모더레이션

수락

항목

VDB-355619

EPSS

0.00392

출처

Might our Artificial Intelligence support you?

Check our Alexa App!