CVE-2024-9070

Nome do Software Vulnerável e Versões Afetadas bentoml/bentoml versões anteriores à 1.3.4.post1

Descrição Existe uma vulnerabilidade de desserialização no servidor runner do BentoML. Ao configurar parâmetros específicos, um atacante pode executar código arbitrário não autorizado no servidor, causando danos graves. O problema é acionado quando o parâmetro args-number é maior que 1, levando à desserialização automática e execução arbitrária de código.

Recomendações Para versões anteriores à 1.3.4.post1, atualize para a versão 1.3.4.post1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o parâmetro args-number para um valor de 1 ou menos para prevenir a desserialização automática e a execução arbitrária de código.