← Retour
AI / ML
CVE-2026-2614 high CVSS 7.5

MLflow allows an unauthenticated remote attacker to read arbitrary files from the server's filesystem

Résumé

MLflow allows an unauthenticated remote attacker to read arbitrary files from the server's filesystem

Résumé IA openai / gpt-4o

Une vulnérabilité référencée **CVE-2026-2614** a été découverte dans mlflow. Des attaquants peuvent cibler un point d'entrée spécifique comme ``CreateModelVersion`` à distance pour détourner le produit. Des informations confidentielles peuvent être exposées. Score CVSS : 7.5/10. Action : appliquez le correctif officiel de l'éditeur. En cas de doute, contactez votre service informatique ou cherchez « mlflow CVE-2026-2614 » sur le site de l'éditeur.
CVE-2026-2614 (mlflow) — CWE-22 / CVSS v3 7.5 Vecteur d'attaque : distant (réseau) / non authentifié / sans interaction utilisateur Surface d'attaque : `CreateModelVersion` / `mlflow.prompt.is_prompt` Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs. Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
mlflowの`_create_model_version()`における任意ファイル読み取りの脆弱性です。
📍 Périmètre concerné
mlflowのバージョン3.9.0とそれ以前。
🔥 Gravité
未認証の攻撃者により機密性が完全に破られるため、高度に重要です。
🔧 Comment corriger
mlflowをバージョン3.10.0にアップデートしてください。
🛡️ Contournement
情報なし
🔍 Détection
影響を受けるバージョンを使用しているか確認し、サーバログ等で不正な活動の痕跡を探すこと。

Paquets affectés

pip mlflow
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]
PyPI mlflow
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]
Bitnami mlflow
[{"type":"SEMVER","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]

Références

🍪 À propos des cookies

Nous utilisons des cookies pour conserver votre session, mémoriser la langue et améliorer le service.

En savoir plus →