CVE-2026-33744 in BentoMLthông tin

Tóm tắt

Bởi VulDB • 09/06/2026

BentoML là một thư viện Python dùng để xây dựng các hệ thống phục vụ trực tuyến (online serving systems), được tối ưu hóa cho các ứng dụng AI và quá trình suy luận mô hình (model inference). Trước phiên bản 1.4.37, trường `docker.system_packages` trong tệp `bentofile.yaml` chấp nhận các chuỗi ký tự tùy ý và nội dung của chúng được chèn trực tiếp vào lệnh `RUN` bên trong Dockerfile mà không qua bất kỳ quá trình kiểm tra hoặc làm sạch (sanitization) nào. Vì về mặt ngữ nghĩa, `system_packages` là một danh sách tên gói hệ điều hành (dữ liệu), người dùng không mong đợi các giá trị này được diễn giải dưới dạng lệnh shell. Một tệp `bentofile.yaml` độc hại có thể thực thi tùy ý các lệnh trong quá trình chạy `bentoml containerize` / `docker build`. Phiên bản 1.4.37 đã khắc phục sự cố này.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00257

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!