CVE-2024-9070
CriticalSummary
W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.
Risk Assessment
Podatność ta stwarza ryzyko wykonania dowolnego kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację BentoML do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie serwera pod kątem nieautoryzowanych działań.
Original NVD description (English source)
A deserialization vulnerability exists in BentoML's runner server in bentoml/bentoml versions <=1.3.4.post1. By setting specific parameters, an attacker can execute unauthorized arbitrary code on the server, causing severe harm. The vulnerability is triggered when the args-number parameter is greater than 1, leading to automatic deserialization and arbitrary code execution.

