Katalog CVE

CVE-2026-44345

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

BentoML to biblioteka Pythona do budowania systemów serwujących zoptymalizowanych dla aplikacji AI. W wersjach przed 1.4.39, szablon Dockerfile w bibliotece interpoluje wartość docker.base_image bez odpowiedniego filtrowania i walidacji, co pozwala na wstrzyknięcie złośliwych dyrektyw Dockerfile.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia i wykonania dowolnych poleceń na hoście ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację biblioteki BentoML do wersji 1.4.39 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

BentoML is a Python library for building online serving systems optimized for AI apps and model inference. Prior to 1.4.39, src/bentoml/_internal/container/frontend/dockerfile/templates/base_v2.j2 interpolates docker.base_image raw with no escaping, newline filtering, or validation. A malicious bento.yaml with a multi-line docker.base_image value smuggles arbitrary Dockerfile directives into the generated Dockerfile, and bentoml containerize then runs docker build which executes the injected RUN directives on the victim host. This vulnerability is fixed in 1.4.39.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS