CVE-2026-33744 in BentoML信息

摘要

由 VulDB • 2026-06-09

BentoML 是一个用于构建在线服务系统的 Python 库,专为 AI 应用和模型推理进行优化。在 1.4.37 版本之前,`bentofile.yaml` 中的 `docker.system_packages` 字段接受任意字符串,这些字符串会被直接插值到 Dockerfile 的 `RUN` 命令中,且未经过任何清理或转义处理。由于 `system_packages` 在语义上是一个操作系统包名称列表(数据),用户不会预期这些值会被解释为 shell 命令。恶意的 `bentofile.yaml` 可在执行 `bentoml containerize` 或 `docker build` 期间实现任意命令执行。版本 1.4.37 修复了此问题。

Be aware that VulDB is the high quality source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!