Múltiples vulnerabilidades en HPE Private Cloud AI
HPE Private Cloud AI: versiones anteriores a la v1.5.
HPE ha publicado 10 vulnerabilidades: 1 de severidad crítica, 4 de severidad alta y 5 de severidad media, cuya explotación podría permitir a un atacante remoto ejecutar código arbitrario.
HPE ha publicado la siguiente actualización de software para resolver las posibles vulnerabilidades en HPE Private Cloud AI:
- HPE Private Cloud AI v1.5 o posterior.
BentoML es una biblioteca de Python para crear sistemas de servicios en línea optimizados para aplicaciones de IA e inferencia de modelos. Antes de la versión 1.4.8, existía una deserialización insegura en el servidor de ejecución de BentoML. Al establecer encabezados y parámetros específicos en la solicitud POST, es posible ejecutar cualquier código arbitrario no autorizado en el servidor, lo que permite a los atacantes obtener acceso inicial y divulgar información del servidor.
Se ha asignado el identificador CVE-2025-32375 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2025-37113, CVE-2025-37118, CVE-2025-37119 y CVE-2025-37120 para las vulnerabilidades de severidad alta.
