Cybersecurity Newsは4月8日(現地時間)、「CVE-2025-27520: Critical BentoML Flaw Allows Full Remote Code Execution, Exploit Available」において、機械学習モデルのデプロイなどに利用される統合推論プラットフォームの「BentoML」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、認証されていないリモートの攻撃者にシステムを乗っ取られる可能性がある。
セキュリティ脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-27520 - 安全ではないデシリアライゼーションの脆弱性。認証されていないリモートの攻撃者は、細工したHTTPリクエストを送信することで任意のコードを実行できる可能性がある(CVSSスコア: 9.8)
脆弱性に関する情報は次のページにまとまっている。
- Remote Code Execution (RCE) Caused by Insecure Deserialization · Advisory · bentoml/BentoML · GitHub
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- BentoML 1.3.4から1.4.3より前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- BentoML 1.4.3
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Cybersecurity Newsはシステムを乗っ取られる可能性があると注意を呼び掛けている。すでに概念実証(PoC: Proof of Concept)コードが公開されており、当該製品を運用している管理者は速やかなアップデートが推奨されている。