BentoML — это библиотека Python для создания систем онлайн-обслуживания, оптимизированных для приложений искусственного интеллекта и вывода моделей. До версии 1.4.38 путь развертывания в облаке в src/bentoml/_internal/cloud/deployment.py не был включен в исправление CVE-2026-33744. Строка 1648 интерполирует system_packages непосредственно в команду оболочки, используя f-строку без каких-либо кавычек.
Сгенерированный сценарий загружается в BentoCloud как setup.sh и выполняется в инфраструктуре облачной сборки во время развертывания, что делает это удаленным выполнением кода на уровне CI/CD. Эта уязвимость исправлена в версии 1.4.38.
Показать оригинальное описание (EN)
BentoML is a Python library for building online serving systems optimized for AI apps and model inference. Prior to 1.4.38, the cloud deployment path in src/bentoml/_internal/cloud/deployment.py was not included in the fix for CVE-2026-33744. Line 1648 interpolates system_packages directly into a shell command using an f-string without any quoting. The generated script is uploaded to BentoCloud as setup.sh and executed on the cloud build infrastructure during deployment, making this a remote code execution on the CI/CD tier. This vulnerability is fixed in 1.4.38.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Bentoml Bentoml
cpe:2.3:a:bentoml:bentoml:*:*:*:*:*:*:*:*
|
— |
1.4.38
|