В конце июля 2025 года в Банке данных угроз (BDU) была зарегистрирована новая серьезная уязвимость, способная поставить под угрозу безопасность систем, развернутых на базе популярного фреймворка для машинного обучения. Речь идет об уязвимости под идентификатором BDU:2026-00109, которая также получила международный идентификатор CVE-2025-54381. Данная проблема затрагивает библиотеку BentoML, предназначенную для упаковки и развертывания моделей искусственного интеллекта, и связана с недостаточной проверкой входящих запросов на стороне сервера.
Детали уязвимости
Уязвимость классифицируется как SSRF (Server-Side Request Forgery, подделка межсайтовых запросов). В сущности, она позволяет злоумышленнику, действующему удаленно и без каких-либо привилегий, заставить уязвимый сервер выполнить произвольный HTTP-запрос к внутренним или внешним ресурсам. Эксплуатация этой уязвимости может привести к компрометации внутренних служб, раскрытию конфиденциальных данных или использованию сервера в качестве плацдарма для дальнейших атак.
С технической точки зрения, ошибка относится к классу CWE-918 (Серверная фальсификация запросов). Все версии BentoML до 1.4.19 включительно подвержены данной атаке. Уровень опасности уязвимости оценивается как критический. Это подтверждается базовыми оценками по шкале CVSS: 9.0 для версии 2.0 и 9.9 для версии 3.1. Столь высокий балл обусловлен полным отсутствием требований к аутентификации (PR:N), низкой сложности эксплуатации (AC:L) и сетевого вектора атаки (AV:N), а также серьезному влиянию на конфиденциальность (C:H).
Поскольку BentoML активно используется для развертывания моделей ИИ в облачных средах и микросервисных архитектурах, потенциальная область воздействия весьма широка. Злоумышленник, успешно воспользовавшийся уязвимостью, может получить доступ к внутренним метаданным облачных провайдеров, таким как AWS IMDS или Azure Instance Metadata Service. Более того, атакующий может взаимодействовать с внутренними системами оркестрации, например, с API Kubernetes, что открывает путь к полному захвату кластера.
Важно отметить, что, согласно данным BDU, в открытом доступе уже существуют рабочие эксплойты, что значительно повышает актуальность угрозы. Способ эксплуатации классифицируется как «Подмена при взаимодействии». Следовательно, злоумышленники могут активно сканировать интернет в поисках незащищенных экземпляров BentoML для проведения атак.
Производитель, сообщество BentoML, оперативно отреагировало на обнаруженную проблему. Уязвимость была подтверждена, а затем устранена. Основной способ защиты - обязательное обновление программного обеспечения до версии 1.4.19 или более новой. Разработчики выпустили соответствующее обновление безопасности, патч для которого был представлен в публичном репозитории на GitHub. Таким образом, пользователям настоятельно рекомендуется немедленно проверить и обновить свои развертывания.
Для получения дополнительных технических деталей и рекомендаций по устранению следует обратиться к официальному бюллетеню безопасности на GitHub, выпущенному командой BentoML. Там же содержится информация о конкретных изменениях в коде, которые ликвидируют проблему с проверкой URL.
В заключение, данная уязвимость служит серьезным напоминанием для всех компаний, использующих платформы для развертывания ИИ. Необходимо не только своевременно применять обновления, но и внедрять дополнительные меры защиты, такие как сегментация сети и использование политик безопасности для исходящих подключений с серверов, обрабатывающих модели машинного обучения. Постоянный мониторинг источников, подобных BDU, и оперативная реакция на критические уведомления остаются ключевыми элементами стратегии кибербезопасности в быстро развивающейся сфере искусственного интеллекта.
Ссылки
- https://bdu.fstec.ru/vul/2026-00109
- https://www.cve.org/CVERecord?id=CVE-2025-54381
- https://github.com/bentoml/BentoML/commit/534c3584621da4ab954bdc3d814cc66b95ae5fb8
- https://github.com/bentoml/BentoML/security/advisories/GHSA-mrmq-3q62-6cc8
