← 戻る
AI/ML
CVE-2026-2614 high CVSS 7.5

MLflow allows an unauthenticated remote attacker to read arbitrary files from the server's filesystem

概要

MLflow allows an unauthenticated remote attacker to read arbitrary files from the server's filesystem

AI要約 openai / gpt-4o

mlflowのバージョン3.9.0以前に、未認証のリモート攻撃者がサーバのファイルシステムから任意のファイルを読み取ることができる脆弱性が存在します。この問題は、CreateModelVersionリクエストに含まれる特定のタグがソースパスの検証を回避することに起因しています。これにより、攻撃者は任意のローカルファイルシステムパスをモデルバージョンのソースとして保存することが可能になります。この問題はバージョン3.10.0で修正されています。
❓ 何が問題か
mlflowの`_create_model_version()`における任意ファイル読み取りの脆弱性です。
📍 影響範囲
mlflowのバージョン3.9.0とそれ以前。
🔥 重要度
未認証の攻撃者により機密性が完全に破られるため、高度に重要です。
🔧 修正方法
mlflowをバージョン3.10.0にアップデートしてください。
🛡️ 暫定回避
情報なし
🔍 検知方法
影響を受けるバージョンを使用しているか確認し、サーバログ等で不正な活動の痕跡を探すこと。

影響パッケージ

pip mlflow
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]
PyPI mlflow
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]
Bitnami mlflow
[{"type":"SEMVER","events":[{"introduced":"0"},{"fixed":"3.10.0"}]}]

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →