BentoML 文件上传处理中的 SSRF 漏洞

该 SSRF 漏洞的潜在影响非常严重。攻击者可以利用该漏洞向内部网络发起请求，访问未经授权的资源，例如数据库、管理界面或内部 API。攻击者还可以利用该漏洞读取服务器上的敏感文件，例如配置文件或密钥文件。此外，攻击者还可以利用该漏洞执行恶意代码，例如通过读取并执行远程文件。由于 bentoml 广泛应用于机器学习模型的部署和管理，该漏洞可能影响大量用户，并可能导致严重的业务中断和数据泄露。该漏洞的利用方式类似于其他 SSRF 漏洞，攻击者可以通过构造恶意的 multipart form data 或 JSON 请求，其中包含指向内部资源的 URL，从而触发漏洞。

Organizations deploying machine learning models using BentoML, particularly those with internal network resources accessible to the model serving platform, are at risk. Legacy BentoML deployments and those lacking robust network segmentation are especially vulnerable.

• python / server:

import requests
import urllib.parse

def check_bentoml_ssrf(url):
    try:
        parsed_url = urllib.parse.urlparse(url)
        if parsed_url.scheme in ('http', 'https') and parsed_url.netloc:
            # Check for internal IP addresses or unusual domains
            if any(octet in parsed_url.netloc for octet in range(1, 256)):
                return True
    except Exception as e:
        print(f"Error parsing URL: {e}")
    return False

# Example usage (replace with actual BentoML endpoint)
url = "http://localhost:8000/upload?url=http://169.254.169.254/latest/meta-data/"
if check_bentoml_ssrf(url):
    print("Potential SSRF vulnerability detected!")
else:
    print("No SSRF vulnerability detected.")

• linux / server:

journalctl -u bentoml -f | grep -i "request: http" # Monitor for outbound HTTP requests

1. 2025-07-29Disclosure

   disclosure

2. 2025-07-29Patch

   patch

1. 已保留2025-07-21
2. 发布日期2025-07-29
3. 修改日期2025-07-30
4. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-54381 的风险，建议尽快升级至 bentoml 1.4.19 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，严格限制文件上传的来源，只允许来自可信来源的文件。其次，对文件上传的 URL 进行严格的验证，确保 URL 指向允许的内部资源。第三，使用防火墙或代理服务器来过滤对内部资源的请求，阻止未经授权的访问。第四，实施严格的访问控制策略，限制对敏感资源的访问权限。升级后，请确认通过检查文件上传功能，验证是否仍然存在 SSRF 漏洞。