CVE-2026-44345

Nome do Software Vulnerável e Versões Afetadas BentoML versões anteriores a 1.4.39

Descrição BentoML é uma biblioteca Python utilizada para a construção de sistemas de serviço online otimizados para aplicações de IA e inferência de modelos. O problema ocorre porque o template src/bentoml/ internal/container/frontend/dockerfile/templates/base v2.j2 interpola a variável docker.base image sem escape, filtragem de novas linhas ou validação. Um arquivo bento.yaml malicioso contendo um valor de múltiplas linhas para docker.base image pode introduzir diretivas arbitrárias do Dockerfile no Dockerfile gerado. Quando o comando bentoml containerize é executado, ele aciona um docker build que executa as diretivas RUN injetadas no sistema host.

Recomendações Atualizar para a versão 1.4.39.