「BentoML」に深刻な脆弱性 ─ ファイルアップロード処理に起因
機械学習モデルのデプロイに利用されるフレームワーク「BentoML」に脆弱性が明らかとなった。アップデートで修正されている。
「JSON」や「multipart/form-data」におけるファイルアップロード機能の処理にサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2025-54381」が明らかとなったもの。
ファイルのアップロードを処理するほとんどの「MLサービス」に影響を与える脆弱性だという。
URL形式の入力値を受け取ると、十分な検証を行わずにファイルをダウンロードしてしまうため、認証なしに外部から任意のHTTPリクエストをサーバ側で実行することが可能。内部システムの情報収集や不正な操作に悪用されるおそれがある。
具体的には、認証情報や設定などのメタデータやログをサーバより窃取されたり、内部HTTPサービスやAPIを把握されて不正な操作が行われるおそれがある。セキュリティ機能やアクセス制御のバイパス、連携する内部サービスの不正操作などが行われるおそれもある。
(Security NEXT - 2025/07/30 )
ツイート
PR
関連記事
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
