प्लेटफ़ॉर्म
python
घटक
bentoml
में ठीक किया गया
1.4.1
1.4.19
CVE-2025-54381 एक गंभीर सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो bentoml फ्रेमवर्क में पाई गई है। यह भेद्यता हमलावरों को बिना किसी प्रमाणीकरण के सर्वर से मनमाना HTTP अनुरोध करने की अनुमति देती है, जिससे संवेदनशील डेटा का खुलासा या आंतरिक संसाधनों तक अनधिकृत पहुंच हो सकती है। यह भेद्यता bentoml के संस्करण 1.4.9 और उससे पहले के संस्करणों को प्रभावित करती है। 2025-07-29 को प्रकाशित, इस समस्या को bentoml संस्करण 1.4.19 में ठीक किया गया है।
यह SSRF भेद्यता bentoml फ्रेमवर्क का उपयोग करने वाले अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। हमलावर इस भेद्यता का उपयोग आंतरिक नेटवर्क संसाधनों तक पहुंचने, संवेदनशील डेटा को उजागर करने या यहां तक कि सर्वर पर मनमाना कोड निष्पादित करने के लिए कर सकते हैं। विशेष रूप से, फ़ाइल अपलोड प्रोसेसिंग सिस्टम में भेद्यता का शोषण किया जा सकता है, जहां फ्रेमवर्क उपयोगकर्ता-प्रदत्त URL से फ़ाइलों को डाउनलोड करता है बिना आंतरिक नेटवर्क पतों को ठीक से मान्य किए। यह भेद्यता फ्रेमवर्क-व्यापी है क्योंकि यह फ़ाइल-प्रकार मापदंडों (pathlib.Path, PIL.Image.Image) के साथ पंजीकृत किसी भी सेवा एंडपॉइंट को प्रभावित करती है।
CVE-2025-54381 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है। यह भेद्यता 2025-07-29 को प्रकाशित हुई थी।
Organizations deploying machine learning models using BentoML, particularly those with internal network resources accessible to the model serving platform, are at risk. Legacy BentoML deployments and those lacking robust network segmentation are especially vulnerable.
• python / server:
import requests
import urllib.parse
def check_bentoml_ssrf(url):
try:
parsed_url = urllib.parse.urlparse(url)
if parsed_url.scheme in ('http', 'https') and parsed_url.netloc:
# Check for internal IP addresses or unusual domains
if any(octet in parsed_url.netloc for octet in range(1, 256)):
return True
except Exception as e:
print(f"Error parsing URL: {e}")
return False
# Example usage (replace with actual BentoML endpoint)
url = "http://localhost:8000/upload?url=http://169.254.169.254/latest/meta-data/"
if check_bentoml_ssrf(url):
print("Potential SSRF vulnerability detected!")
else:
print("No SSRF vulnerability detected.")• linux / server:
journalctl -u bentoml -f | grep -i "request: http" # Monitor for outbound HTTP requestsdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.50% (66% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-54381 के प्रभाव को कम करने के लिए, bentoml को संस्करण 1.4.19 या उच्चतर में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड प्रोसेसिंग सिस्टम में उपयोगकर्ता-प्रदत्त URL की सख्त सत्यापन लागू की जा सकती है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को ब्लॉक किया जा सकता है। WAF नियमों को आंतरिक नेटवर्क पतों से अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए।
BentoML को संस्करण 1.4.19 या उच्चतर में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए एक सुधार शामिल है। अपडेट आपके सर्वर के माध्यम से दूरस्थ, गैर-प्रमाणित हमलावरों द्वारा मनमाना HTTP अनुरोधों को करने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-54381 bentoml फ्रेमवर्क में एक गंभीर सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो हमलावरों को बिना प्रमाणीकरण के सर्वर से मनमाना HTTP अनुरोध करने की अनुमति देती है।
यदि आप bentoml के संस्करण 1.4.9 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-54381 को ठीक करने के लिए, bentoml को संस्करण 1.4.19 या उच्चतर में अपग्रेड करें।
हालांकि सार्वजनिक रूप से उपलब्ध PoC ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
कृपया आधिकारिक bentoml सलाहकार के लिए bentoml वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।