Platform
python
Component
bentoml
Opgelost in
1.4.35
1.4.34
CVE-2026-24123 beschrijft een Path Traversal kwetsbaarheid in BentoML, een Python-framework voor machine learning deployment. Deze kwetsbaarheid stelt aanvallers in staat om via het bentofile.yaml configuratiebestand gevoelige bestanden van het systeem te extraheren, wat kan leiden tot supply chain aanvallen. De kwetsbaarheid treft versies van BentoML tot en met 1.4.9, maar is verholpen in versie 1.4.34.
Een succesvolle exploitatie van deze kwetsbaarheid kan verstrekkende gevolgen hebben. Aanvallers kunnen gevoelige informatie extraheren, zoals SSH-sleutels, inloggegevens en omgevingsvariabelen, die in het BentoML-project zijn opgeslagen. Deze informatie kan vervolgens worden gebruikt voor verdere aanvallen, zoals het verkrijgen van toegang tot andere systemen of het compromitteren van de gehele supply chain. De bento-archieven, die de gemanipuleerde bestanden bevatten, kunnen vervolgens worden gedeeld via registries of worden ingezet, waardoor de impact van de aanval aanzienlijk wordt vergroot. Dit is vergelijkbaar met scenario's waarin malware wordt verpakt in legitieme softwarepakketten.
Deze kwetsbaarheid is openbaar gemaakt op 26 januari 2026. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is waarschijnlijk dat aanvallers deze zullen onderzoeken. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt. De KEV-status is momenteel onbekend.
Organizations heavily reliant on BentoML for deploying machine learning models, particularly those using shared Bento registries or automated build pipelines, are at increased risk. Teams using BentoML in CI/CD environments or those integrating BentoML with other systems that handle sensitive data are also particularly vulnerable.
• python: Monitor BentoML build processes for unusual file access patterns. Use strace or similar tools to observe file system calls made during Bento builds.
strace -e trace=file -p <bentoml_process_id>• generic web: Inspect BentoML registry images for unexpected files or anomalies. Check the contents of deployed Bentos for suspicious files.
• linux / server: Examine system logs for attempts to access files outside of the expected BentoML working directory. Use auditd to monitor file access events.
auditctl -w /path/to/bentoml/working/directory -p wa -k bentoml_accessdisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van BentoML naar versie 1.4.34 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan om de toegang tot het bentofile.yaml bestand te beperken en de bestandsrechten te controleren. Implementeer een Web Application Firewall (WAF) of proxy om verdachte verzoeken te blokkeren. Controleer de bentofile.yaml bestanden op ongebruikelijke paden of bestandsnamen. Na de upgrade, verifieer de fix door een bento te bouwen en te controleren of er geen onbevoegde bestanden worden opgenomen.
Actualice la biblioteca BentoML a la versión 1.4.34 o superior. Esto corregirá la vulnerabilidad de path traversal en la configuración de `bentofile.yaml`. Puede actualizar usando `pip install bentoml==1.4.34` o una versión más reciente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24123 is a Path Traversal vulnerability in BentoML versions up to 1.4.9, allowing attackers to extract files from the filesystem and embed them in Bento archives, posing a supply chain risk.
You are affected if you are using BentoML versions 1.4.9 or earlier. Upgrade to 1.4.34 or later to mitigate the vulnerability.
The recommended fix is to upgrade to BentoML version 1.4.34 or later. Implement stricter file access controls and review bentofile.yaml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation, and proactive mitigation is recommended.
Refer to the official BentoML security advisories and release notes on the BentoML GitHub repository for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.