Katalog CVE

CVE-2024-9070

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.

Ocena ryzyka

Podatność ta stwarza ryzyko wykonania dowolnego kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację BentoML do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie serwera pod kątem nieautoryzowanych działań.

Oryginalny opis (angielski, źródło NVD)

A deserialization vulnerability exists in BentoML's runner server in bentoml/bentoml versions <=1.3.4.post1. By setting specific parameters, an attacker can execute unauthorized arbitrary code on the server, causing severe harm. The vulnerability is triggered when the args-number parameter is greater than 1, leading to automatic deserialization and arbitrary code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS