| Title | BentoMLにおけるリンク解釈に関する脆弱性 |
|---|---|
| Summary | BentoMLは、AIアプリケーションやモデル推論に最適化されたオンラインサービングシステムを構築するためのPythonライブラリです。バージョン1.4.38およびそれ以前では、ビルドパッケージングのワークフローがビルドコンテキスト内の攻撃者が制御するシンボリックリンクをたどり、参照されたファイルの内容を生成されたBentoアーティファクトにコピーしてしまいます。被害者が信頼できないリポジトリや攻撃者が提供したビルドコンテキストをビルドすると、攻撃者はloot.txt - /tmp/outside-marker.txtのようなシンボリックリンクや、より機密性の高いローカルファイルへのリンクを配置できます。bentoml buildが実行されると、BentoMLはシンボリックリンクを参照し、そのターゲットファイルの内容をBentoにパッケージします。漏えいしたファイルはその後、エクスポート、プッシュ、またはコンテナ化のワークフローを通じてさらに拡散する可能性があります。攻撃者はビルドホストのローカルファイルをBentoアーティファクトに抽出して、クラウド認証情報、SSHキー、APIトークン、環境ファイル、その他の機密ローカル構成情報などの秘密情報を露出させることができます。Bentoアーティファクトは一般的にビルド後にエクスポート、アップロード、保存、コンテナ化されるため、漏えいしたファイルの内容が元のビルドマシンの範囲を超えて拡散する可能性があります。この問題はバージョン1.4.39で修正されています。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 22, 2026, midnight |
| Registration Date | June 3, 2026, 5:02 p.m. |
| Last Update | June 3, 2026, 5:02 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
| BentoML |
| BentoML 1.4.39 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月03日] 掲載 |
June 3, 2026, 5:02 p.m. |
| Summary | BentoML is a Python library for building online serving systems optimized for AI apps and model inference. In versions 1.4.38 and prior, the build packaging workflow follows attacker-controlled symlinks inside the build context and copies the referenced file contents into the generated Bento artifact. If a victim builds an untrusted repository or other attacker-supplied build context, the attacker can place a symlink such as loot.txt -> /tmp/outside-marker.txt or a link to a more sensitive local file. When bentoml build runs, BentoML dereferences the symlink and packages the target file contents into the Bento. The leaked file can then propagate further through export, push, or containerization workflows. An attacker can exfiltrate local files from the build host into the Bento artifact, exposing secrets such as cloud credentials, SSH keys, API tokens, environment files, or other sensitive local configurations. Because Bento artifacts are commonly exported, uploaded, stored, or containerized after build, the leaked file contents can spread beyond the original build machine. This issue has been fixed in version 1.4.39. |
|---|---|
| Publication Date | May 23, 2026, 5:16 a.m. |
| Registration Date | May 27, 2026, 4:06 a.m. |
| Last Update | May 30, 2026, 3:53 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:bentoml:bentoml:*:*:*:*:*:*:*:* | 1.4.39 | ||||