AIアプリの構築に活用される「BentoML」に深刻な脆弱性
機械学習モデルのデプロイに利用されるフレームワーク「BentoML」にリモートよりコードを実行されるおそれがある脆弱性が明らかとなった。アップデートで修正されている。
信頼できないデータをデシリアライズする脆弱性「CVE-2024-2912」が明らかとなったもの。
細工した「POSTリクエスト」をリモートより送りつけ、同ソフトウェアがホストされているサーバ上でコマンドを実行することが可能だという。
CVE番号を採番したhuntrでは、共通脆弱性評価システム「CVSSv3.0」のベーススコアを「9.8」、重要度をクリティカルとレーティングした。実証コード(PoC)も公開されている。
開発チームでは、3月5日にリリースした「同1.2.5」にて同脆弱性を修正。その後もアップデートが実施されており、4月30日の時点で最新版は「同1.2.12」となっている。
(Security NEXT - 2024/04/30 )
ツイート
PR
関連記事
「Teams」経由のオンライン会議招待でメアド流出 - 佐賀県
中学校で答案データが保存されたメディアを紛失 - 東久留米市
サイトが改ざん被害、別サイトへ誘導 - 富山市内の商業施設
VPN経由でサイバー攻撃、詳細を調査 - 国立特総研
ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ
ビデオ会議のZoom、クライアントの複数脆弱性を解消
脆弱性4件を修正、「rsync」の深刻な脆弱性も解消 - GitLab
「PAN-OS」「GlobalProtect App」など複数製品の脆弱性を解消 - Palo Alto
「EPM」や「EPMM」などIvanti複数製品に脆弱性 - 悪用は未確認
高齢者見守り活動用の名簿紛失、パトロールを強化 - 荒川区