BDU:2025-04881

Опубликовано: 04 апр. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость компонента serde.py библиотеки BentoML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код на сервере

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

BentoML

Версия ПО

от 1.3.4 до 1.4.3 (BentoML)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/bentoml/BentoML/security/advisories/GHSA-33xw-247w-6hmc

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-27520
CVE

EPSS

Процентиль: 99%

0.75707

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-27520

CVSS3: 9.8

nvd

10 месяцев назад

BentoML is a Python library for building online serving systems optimized for AI apps and model inference. A Remote Code Execution (RCE) vulnerability caused by insecure deserialization has been identified in the latest version (v1.4.2) of BentoML. It allows any unauthenticated user to execute arbitrary code on the server. It exists an unsafe code segment in serde.py. This vulnerability is fixed in 1.4.3.

GHSA-33xw-247w-6hmc

CVSS3: 9.8

github

10 месяцев назад

BentoML Allows Remote Code Execution (RCE) via Insecure Deserialization

EPSS

Процентиль: 99%

0.75707

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2