HIGHCVE-2026-24123CVSS 7.4

BentoML में Bentofile कॉन्फ़िगरेशन के माध्यम से पाथ ट्रैवर्सल (Path Traversal) की भेद्यता

Q: CVE-2026-24123 — पाथ ट्रैवर्सल BentoML में क्या है?

CVE-2026-24123 BentoML में एक पाथ ट्रैवर्सल भेद्यता है जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँच प्राप्त करने की अनुमति देती है।

Q: क्या मैं CVE-2026-24123 में BentoML से प्रभावित हूँ?

यदि आप BentoML संस्करण 1.4.9 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

Q: मैं CVE-2026-24123 में BentoML को कैसे ठीक करूँ?

BentoML संस्करण 1.4.34 में अपग्रेड करें।

Q: क्या CVE-2026-24123 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसका शोषण होने की संभावना है।

Q: मैं CVE-2026-24123 के लिए आधिकारिक BentoML सलाहकार कहाँ पा सकता हूँ?

कृपया BentoML की वेबसाइट पर जाएँ या संबंधित सुरक्षा घोषणाओं के लिए उनके GitHub रिपॉजिटरी देखें।

प्लेटफ़ॉर्म

python

घटक

bentoml

में ठीक किया गया

1.4.35

1.4.34

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026

NVD पर देखें

सहेजें

BentoML में एक पाथ ट्रैवर्सल भेद्यता पाई गई है, जो संस्करण 1.4.9 और उससे पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को bentofile.yaml कॉन्फ़िगरेशन फ़ाइल में मौजूद फ़ाइल पथ फ़ील्ड्स के माध्यम से मनमाने फ़ाइलों तक पहुँच प्राप्त करने की अनुमति देती है। इससे आपूर्ति श्रृंखला हमलों का खतरा बढ़ जाता है, जहाँ संवेदनशील डेटा चुपचाप बेंटो अभिलेखागार में एम्बेड हो सकता है। संस्करण 1.4.34 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता BentoML उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है। एक हमलावर bentofile.yaml फ़ाइल में दुर्भावनापूर्ण पथों का उपयोग करके सिस्टम से संवेदनशील जानकारी, जैसे SSH कुंजियाँ, क्रेडेंशियल और पर्यावरण चर निकाल सकता है। यह जानकारी तब आपूर्ति श्रृंखला हमलों के लिए उपयोग की जा सकती है, जहाँ दूषित बेंटो को रजिस्ट्री में धकेल दिया जाता है या तैनात किया जाता है, जिससे अन्य उपयोगकर्ताओं को खतरा होता है। भेद्यता की गंभीरता इस तथ्य से बढ़ जाती है कि बेंटो का उपयोग अक्सर मशीन लर्निंग मॉडल को तैनात करने के लिए किया जाता है, जो अक्सर महत्वपूर्ण डेटा और बुनियादी ढांचे तक पहुँच प्रदान करते हैं। इस भेद्यता का शोषण करने के लिए हमलावर को BentoML बिल्ड प्रक्रिया तक पहुँच की आवश्यकता होती है, जो आमतौर पर एक डेवलपर या CI/CD पाइपलाइन के माध्यम से होती है।

शोषण संदर्भ

यह भेद्यता 2026-01-26 को सार्वजनिक रूप से उजागर की गई थी। वर्तमान में, इस भेद्यता के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता और आपूर्ति श्रृंखला हमलों की क्षमता के कारण, इसका शोषण होने की संभावना है। इस CVE को CISA KEV सूची में जोड़ा गया है, जो इसकी उच्च जोखिम प्रोफ़ाइल को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता का विवरण सार्वजनिक रूप से उपलब्ध होने के कारण, PoC के जल्द ही उभरने की संभावना है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations heavily reliant on BentoML for deploying machine learning models, particularly those using shared Bento registries or automated build pipelines, are at increased risk. Teams using BentoML in CI/CD environments or those integrating BentoML with other systems that handle sensitive data are also particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• python: Monitor BentoML build processes for unusual file access patterns. Use strace or similar tools to observe file system calls made during Bento builds.

strace -e trace=file -p <bentoml_process_id>

• generic web: Inspect BentoML registry images for unexpected files or anomalies. Check the contents of deployed Bentos for suspicious files. • linux / server: Examine system logs for attempts to access files outside of the expected BentoML working directory. Use auditd to monitor file access events.

auditctl -w /path/to/bentoml/working/directory -p wa -k bentoml_access

हमले की समयरेखा

2026-01-26Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.01% (1% शतमक)

CISA SSVC

शोषणnone

स्वचालनीयno

तकनीकी प्रभावpartial

CVSS वेक्टर

प्रभावित सॉफ्टवेयर

घटकbentoml

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

< 1.4.34 – < 1.4.341.4.35

—1.4.34

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

आरक्षित2026-01-21
प्रकाशित2026-01-26
संशोधित2026-02-03
EPSS अद्यतन2026-03-23

प्रकाशन के 0 दिन बाद पैच

शमन और वर्कअराउंड

BentoML संस्करण 1.4.34 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो कुछ अस्थायी शमन उपाय किए जा सकते हैं। सबसे पहले, bentofile.yaml फ़ाइल में उपयोगकर्ता इनपुट से प्राप्त फ़ाइल पथों को मान्य करें। दूसरा, बेंटो निर्माण प्रक्रिया को सीमित करें ताकि केवल विश्वसनीय उपयोगकर्ताओं को ही फ़ाइलों तक पहुँच प्राप्त हो। तीसरा, फ़ाइल सिस्टम पर सख्त पहुँच नियंत्रण लागू करें ताकि संवेदनशील डेटा को अनधिकृत पहुँच से बचाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, BentoML के बिल्ड प्रक्रिया को चलाकर और यह सुनिश्चित करके कि कोई संवेदनशील फ़ाइलें उजागर नहीं हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca BentoML a la versión 1.4.34 o superior. Esto corregirá la vulnerabilidad de path traversal en la configuración de `bentofile.yaml`. Puede actualizar usando `pip install bentoml==1.4.34` o una versión más reciente.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-24123 — पाथ ट्रैवर्सल BentoML में क्या है?