CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44346

HighCVSS 8.8
Published: Updated: Translated: NVD NIST

Summary

BentoML to biblioteka Pythona do budowania systemów serwujących zoptymalizowanych dla aplikacji AI. W wersjach przed 1.4.39, złośliwy plik bentofile.yaml z wartością zawierającą nową linię w envs[*].name generuje niecytowane dyrektywy RUN w wygenerowanym Dockerfile, co może prowadzić do wykonania nieautoryzowanych poleceń podczas budowy kontenera.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu na hoście, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację biblioteki BentoML do wersji 1.4.39 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt istniejących plików bentofile.yaml w celu wykrycia potencjalnie złośliwych wartości.

Original NVD description (English source)

BentoML is a Python library for building online serving systems optimized for AI apps and model inference. Prior to 1.4.39, a malicious bentofile.yaml containing a newline-injected value in envs[*].name produces unquoted RUN directives in the BentoML-generated Dockerfile. When the victim runs bentoml containerize on the imported bento, those RUN directives execute on the host during docker build. This vulnerability is fixed in 1.4.39.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS