CRITICAL🇬🇧 English

CVE-2024-2912

RCE przez insecure deserialization w frameworku BentoML

CVSS 10.0v3.1pub. 2024-04-16upd. 2026-04-15

W frameworku BentoML istnieje krytyczna podatność polegająca na niebezpiecznej deserializacji danych, umożliwiająca zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad serwerem hostującym aplikację BentoML, wysyłając specjalnie spreparowane żądanie POST.

Pokaż oryginał (EN)

An insecure deserialization vulnerability exists in the BentoML framework, allowing remote code execution (RCE) by sending a specially crafted POST request. By exploiting this vulnerability, attackers can execute arbitrary commands on the server hosting the BentoML application. The vulnerability is triggered when a serialized object, crafted to execute OS commands upon deserialization, is sent to any valid BentoML endpoint. This issue poses a significant security risk, enabling attackers to compromise the server and potentially gain unauthorized access or control.

🤖 Analiza AI
Jak działa

Podatność jest wywoływana poprzez wysłanie żądania POST zawierającego złośliwie spreparowany zserializowany obiekt do dowolnego prawidłowego endpointu BentoML. Podczas procesu deserializacji framework przetwarza nadesłany obiekt bez odpowiedniej walidacji, co skutkuje wykonaniem osadzonych w nim poleceń systemowych (OS commands). Mechanizm ten odpowiada klasyfikacji CWE-1188 (insecure default initialization), gdzie nieodpowiednie domyślne ustawienia procesu deserializacji prowadzą do krytycznej podatności. Brak wymagania uwierzytelnienia oraz brak interakcji użytkownika czyni atak szczególnie prosty do przeprowadzenia.

Skutki

Atakujący może wykonać dowolne polecenia na serwerze, co prowadzi do pełnego przejęcia kontroli nad hostem, wycieku danych, instalacji złośliwego oprogramowania lub uzyskania nieautoryzowanego dostępu do zasobów infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka została wprowadzona w commicie fd70379733c57c6368cc022ac1f841b7b426db7b w repozytorium GitHub projektu BentoML. Zaleca się niezwłoczną aktualizację do wersji zawierającej tę poprawkę oraz ograniczenie ekspozycji endpointów BentoML wyłącznie do zaufanych sieci.

Kogo dotyczy

Framework BentoML — wersje wskazane w referencjach producenta (patrz commit naprawczy: fd70379733c57c6368cc022ac1f841b7b426db7b)

Uwagi

Podatność została zgłoszona za pośrednictwem platformy Huntr (program bug bounty). Szczegóły dostępne pod adresem: https://huntr.com/bounties/349a1cce-6bb5-4345-82a5-bf7041b65a68

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje
CVE-2024-2912 — RCE przez insecure deserialization w frameworku BentoML — CRITICAL 10.0 | CVEbaza.pl