CVE-2026-27905

Nome do Software Vulnerável e Versões Afetadas Versões do BentoML anteriores à 1.4.36

Descrição O BentoML é uma biblioteca Python usada para construir sistemas de serviço online para aplicativos de IA e inferência de modelos. A função safe extract tarfile() não valida completamente os destinos de links simbólicos dentro de arquivos tar, possivelmente permitindo que um invasor escreva arquivos arbitrários no sistema de arquivos do host. Especificamente, a função valida o caminho do link simbólico, mas não o caminho para o qual ele aponta. Um invasor pode criar um arquivo tar malicioso contendo um link simbólico que aponta para fora do diretório de extração pretendido, seguido por um arquivo que, ao ser extraído, escreve dados através do link simbólico para um local fora do diretório de extração.

Recomendações Atualize o BentoML para a versão 1.4.36 ou posterior.