Plateforme
python
Composant
bentoml
Corrigé dans
1.4.35
1.4.34
Une vulnérabilité de type Path Traversal a été découverte dans BentoML, affectant les versions inférieures ou égales à 1.4.9. Cette faille permet à un attaquant d'extraire des fichiers arbitraires du système de fichiers, compromettant potentiellement la chaîne d'approvisionnement. La vulnérabilité se trouve dans le fichier de configuration bentofile.yaml et a été corrigée dans la version 1.4.34.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour inclure des fichiers sensibles, tels que des clés SSH, des informations d'identification ou des variables d'environnement, dans les archives BentoML. Ces archives compromises peuvent ensuite être distribuées via des registres ou déployées, permettant à l'attaquant de compromettre les systèmes cibles. Cette vulnérabilité présente un risque de chaîne d'approvisionnement, car elle permet l'injection de code malveillant dans des composants logiciels légitimes. Le vecteur d'attaque est la manipulation du fichier bentofile.yaml, qui est ensuite traité par BentoML lors de la construction de l'archive.
Cette vulnérabilité a été rendue publique le 26 janvier 2026. Il n'y a pas d'indication d'une exploitation active à l'heure actuelle, mais la nature de la vulnérabilité (Path Traversal) et son impact potentiel sur la chaîne d'approvisionnement en font une cible attrayante pour les attaquants. Il n'est pas listé sur KEV à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès au fichier bentofile.yaml et de la complexité de l'exploitation.
Organizations heavily reliant on BentoML for deploying machine learning models, particularly those using shared Bento registries or automated build pipelines, are at increased risk. Teams using BentoML in CI/CD environments or those integrating BentoML with other systems that handle sensitive data are also particularly vulnerable.
• python: Monitor BentoML build processes for unusual file access patterns. Use strace or similar tools to observe file system calls made during Bento builds.
strace -e trace=file -p <bentoml_process_id>• generic web: Inspect BentoML registry images for unexpected files or anomalies. Check the contents of deployed Bentos for suspicious files.
• linux / server: Examine system logs for attempts to access files outside of the expected BentoML working directory. Use auditd to monitor file access events.
auditctl -w /path/to/bentoml/working/directory -p wa -k bentoml_accessdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour BentoML vers la version 1.4.34 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès au fichier bentofile.yaml et de mettre en œuvre une validation stricte des chemins de fichiers utilisés par BentoML. Envisagez également d'utiliser un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant les points d'entrée vulnérables. Surveillez les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice la biblioteca BentoML a la versión 1.4.34 o superior. Esto corregirá la vulnerabilidad de path traversal en la configuración de `bentofile.yaml`. Puede actualizar usando `pip install bentoml==1.4.34` o una versión más reciente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24123 is a Path Traversal vulnerability in BentoML versions up to 1.4.9, allowing attackers to extract files from the filesystem and embed them in Bento archives, posing a supply chain risk.
You are affected if you are using BentoML versions 1.4.9 or earlier. Upgrade to 1.4.34 or later to mitigate the vulnerability.
The recommended fix is to upgrade to BentoML version 1.4.34 or later. Implement stricter file access controls and review bentofile.yaml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation, and proactive mitigation is recommended.
Refer to the official BentoML security advisories and release notes on the BentoML GitHub repository for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.