CVE-2026-40610

Nome do Software Vulnerável e Versões Afetadas BentoML versões anteriores a 1.4.39

Description O fluxo de trabalho de empacotamento bentoml build segue links simbólicos (symlinks) controlados por atacantes dentro do contexto de compilação e copia o conteúdo dos arquivos referenciados para o artefato Bento gerado. Isso ocorre porque o sistema não valida se o caminho resolvido de um arquivo permanece dentro do contexto de compilação antes de desreferenciar o caminho de origem. Um atacante pode inserir um link simbólico apontando para arquivos locais sensíveis no host de compilação, como credenciais de nuvem, chaves SSH, tokens de API ou arquivos de ambiente. Quando o processo de compilação é executado, esses arquivos são empacotados no artefato Bento e podem ser posteriormente vazados por meio de fluxos de exportação, envio (push) ou conteinerização.

Recommendations Atualize para a versão 1.4.39.