Seaw1Nd

**Nome do Software Vulnerável e Versões Afetadas** Versões do BentoML de 1.0.0a1 a 1.4.7 **Descrição** O problema está relacionado a uma desserialização insegura no servidor runner do BentoML. Ao definir cabeçalhos e parâmetros específicos na requisição POST, é possível executar código arbitrário não autorizado no servidor, o que concederá aos atacantes acesso inicial e divulgação de informações no servidor. Isso pode ser alcançado explorando os cabeçalhos `Payload-Container` e `Payload-Meta`, permitindo aos atacantes executar comandos como `curl` e potencialmente obter acesso remoto ao shell do servidor. **Recomendações** Para resolver o problema, atualize para a versão 1.4.8, pois esta versão corrige a vulnerabilidade de desserialização insegura no servidor runner do BentoML. Como solução temporária, considere restringir o acesso aos módulos vulneráveis `runner app.py` e `container.py` até que um patch esteja disponível. Evite utilizar as classes `NdarrayContainer` e `PandasDataFrameContainer` no cabeçalho `Payload-Container`, pois elas podem ser exploradas para executar código arbitrário. Restrinja o uso da função `pickle.loads()`, utilizada para desserializar dados do payload, a fim de prevenir a execução de código malicioso.