Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en BentoML (CVE-2024-9056)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025

Descripción

La versión v1.3.4post1 de BentoML es vulnerable a un ataque de denegación de servicio (DoS). Esta vulnerabilidad se puede explotar añadiendo caracteres, como guiones (-), al final de un límite multiparte en una solicitud HTTP. Esto provoca que el servidor procese continuamente cada carácter, lo que genera un consumo excesivo de recursos y deja el servicio indisponible. El problema no requiere autenticación y no requiere la interacción del usuario, lo que afecta a todos los usuarios del servicio.

Referencias a soluciones, herramientas e información