← 戻る
CVE-2026-2614
high
CVSS 7.5
A vulnerability in the `_create_model_version()` handler of `mlflow/server/handlers.py` in mlflow...
概要
A vulnerability in the `_create_model_version()` handler of `mlflow/server/handlers.py` in mlflow...
AI要約 openai / gpt-4o
mlflowのバージョン3.9.0以前に、未認証のリモート攻撃者がサーバのファイルシステムから任意のファイルを読み取ることができる脆弱性が存在します。この問題は、CreateModelVersionリクエストに含まれる特定のタグがソースパスの検証を回避することに起因しています。これにより、攻撃者は任意のローカルファイルシステムパスをモデルバージョンのソースとして保存することが可能になります。この問題はバージョン3.10.0で修正されています。
❓ 何が問題か
mlflowの`_create_model_version()`における任意ファイル読み取りの脆弱性です。
📍 影響範囲
mlflowのバージョン3.9.0とそれ以前。
🔥 重要度
未認証の攻撃者により機密性が完全に破られるため、高度に重要です。
🔧 修正方法
mlflowをバージョン3.10.0にアップデートしてください。
🛡️ 暫定回避
情報なし
🔍 検知方法
影響を受けるバージョンを使用しているか確認し、サーバログ等で不正な活動の痕跡を探すこと。