CVE-2026-33744 in BentoML
Tóm tắt
Bởi VulDB • 09/06/2026
BentoML là một thư viện Python dùng để xây dựng các hệ thống phục vụ trực tuyến (online serving systems), được tối ưu hóa cho các ứng dụng AI và quá trình suy luận mô hình (model inference). Trước phiên bản 1.4.37, trường `docker.system_packages` trong tệp `bentofile.yaml` chấp nhận các chuỗi ký tự tùy ý và nội dung của chúng được chèn trực tiếp vào lệnh `RUN` bên trong Dockerfile mà không qua bất kỳ quá trình kiểm tra hoặc làm sạch (sanitization) nào. Vì về mặt ngữ nghĩa, `system_packages` là một danh sách tên gói hệ điều hành (dữ liệu), người dùng không mong đợi các giá trị này được diễn giải dưới dạng lệnh shell. Một tệp `bentofile.yaml` độc hại có thể thực thi tùy ý các lệnh trong quá trình chạy `bentoml containerize` / `docker build`. Phiên bản 1.4.37 đã khắc phục sự cố này.
Be aware that VulDB is the high quality source for vulnerability data.