Ssjcorpsec

**Nome do Software Vulnerável e Versões Afetadas** BentoML versões anteriores a 1.4.39 **Descrição** BentoML é uma biblioteca Python utilizada para a construção de sistemas de serviço online otimizados para aplicações de IA e inferência de modelos. O problema ocorre porque o template `src/bentoml/ internal/container/frontend/dockerfile/templates/base v2.j2` interpola a variável `docker.base image` sem escape, filtragem de novas linhas ou validação. Um arquivo `bento.yaml` malicioso contendo um valor de múltiplas linhas para `docker.base image` pode introduzir diretivas arbitrárias do Dockerfile no Dockerfile gerado. Quando o comando `bentoml containerize` é executado, ele aciona um docker build que executa as diretivas `RUN` injetadas no sistema host. **Recomendações** Atualizar para a versão 1.4.39.

**Nome do Software Vulnerável e Versões Afetadas** BentoML versões anteriores a 1.4.39 **Description** BentoML é uma biblioteca Python utilizada para a construção de sistemas de serviço online otimizados para aplicativos de IA e inferência de modelos. Existe uma falha onde um arquivo `bentofile.yaml` malicioso contendo um valor com injeção de nova linha na variável `envs[*].name` pode produzir diretivas RUN não citadas no Dockerfile gerado. Quando o comando `bentoml containerize` é executado no bento importado, essas diretivas RUN são executadas no sistema host durante o processo de build do docker. **Recommendations** Atualizar para a versão 1.4.39.