Plataforma
python
Componente
bentoml
Corrigido em
1.4.35
1.4.34
Uma vulnerabilidade de Path Traversal foi descoberta no bentoml, uma plataforma de machine learning. Essa falha permite que um atacante exfiltre arquivos arbitrários do sistema de arquivos, potencialmente incluindo informações sensíveis como chaves SSH e credenciais, ao criar um arquivo bentofile.yaml malicioso. A vulnerabilidade afeta versões do bentoml até 1.4.9 e foi corrigida na versão 1.4.34.
A exploração bem-sucedida desta vulnerabilidade pode levar a graves consequências para a segurança. Um atacante pode criar um bentofile.yaml malicioso que, ao ser processado pelo bentoml, exfiltra arquivos do sistema de arquivos para o arquivo bento. Esses arquivos podem conter informações confidenciais, como chaves SSH, credenciais de banco de dados, variáveis de ambiente e outros segredos. O arquivo bento comprometido pode então ser distribuído através de registros de contêineres ou implantado em ambientes de produção, permitindo que o atacante obtenha acesso não autorizado a sistemas e dados. Essa técnica pode ser usada para ataques à cadeia de suprimentos, onde o malware é silenciosamente incorporado em artefatos de software legítimos.
Esta vulnerabilidade foi divulgada publicamente em 26 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um proof-of-concept público pode aumentar a probabilidade de exploração.
Organizations heavily reliant on BentoML for deploying machine learning models, particularly those using shared Bento registries or automated build pipelines, are at increased risk. Teams using BentoML in CI/CD environments or those integrating BentoML with other systems that handle sensitive data are also particularly vulnerable.
• python: Monitor BentoML build processes for unusual file access patterns. Use strace or similar tools to observe file system calls made during Bento builds.
strace -e trace=file -p <bentoml_process_id>• generic web: Inspect BentoML registry images for unexpected files or anomalies. Check the contents of deployed Bentos for suspicious files.
• linux / server: Examine system logs for attempts to access files outside of the expected BentoML working directory. Use auditd to monitor file access events.
auditctl -w /path/to/bentoml/working/directory -p wa -k bentoml_accessdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 1.4.34 ou superior do bentoml. Se a atualização imediata não for possível, considere implementar validação rigorosa de entrada para todos os caminhos de arquivo especificados no bentofile.yaml. Implementar uma política de segurança que impeça a execução de arquivos bentofile.yaml de fontes não confiáveis. Monitore os logs do bentoml em busca de tentativas de acesso a arquivos fora do diretório esperado. Considere o uso de um Web Application Firewall (WAF) para bloquear solicitações que contenham padrões de path traversal (por exemplo, ../).
Actualice la biblioteca BentoML a la versión 1.4.34 o superior. Esto corregirá la vulnerabilidad de path traversal en la configuración de `bentofile.yaml`. Puede actualizar usando `pip install bentoml==1.4.34` o una versión más reciente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24123 is a Path Traversal vulnerability in BentoML versions up to 1.4.9, allowing attackers to extract files from the filesystem and embed them in Bento archives, posing a supply chain risk.
You are affected if you are using BentoML versions 1.4.9 or earlier. Upgrade to 1.4.34 or later to mitigate the vulnerability.
The recommended fix is to upgrade to BentoML version 1.4.34 or later. Implement stricter file access controls and review bentofile.yaml files from untrusted sources.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation, and proactive mitigation is recommended.
Refer to the official BentoML security advisories and release notes on the BentoML GitHub repository for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.