CVE-2024-12759

Nome do Software Vulnerável e Versões Afetadas bentoml/bentoml versão 1.3.9

Descrição O endpoint /login do aplicativo Gradio recentemente integrado no bentoml/bentoml é vulnerável a um ataque de Negação de Serviço (DoS). Esta vulnerabilidade pode ser explorada anexando caracteres, como traços (-), ao final de um limite multipart em uma requisição HTTP. O servidor processa continuamente cada caractere, levando ao consumo excessivo de recursos e tornando o serviço indisponível. A vulnerabilidade não requer autenticação e não necessita de nenhuma interação do usuário.

Recomendações Para resolver o problema no bentoml/bentoml versão 1.3.9, considere desabilitar o endpoint /login do aplicativo Gradio até que uma correção esteja disponível. Como medida paliativa temporária, restrinja o acesso ao endpoint /login para minimizar o risco de exploração. Evite utilizar o endpoint com limites multipart que possam ser manipulados para causar consumo excessivo de recursos.