CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-10803

LowCVSS 3.6
Published: Updated: Translated: NVD NIST

Summary

W MLflow w wersjach do 3.10.0 znaleziono lukę w funkcji mlflow.data.digest_utils w pliku mlflow/data/digest_utils.py, która dotyczy obliczania skrótów zbiorów danych. Problem ten prowadzi do użycia słabego skrótu, co może umożliwić atak na lokalnym hoście.

Risk Assessment

Atak na tę lukę jest oceniany jako trudny do przeprowadzenia, jednak opublikowano już exploit, co zwiększa ryzyko wykorzystania tej podatności w organizacji.

Recommendation

Zaleca się aktualizację MLflow do najnowszej wersji, aby zniwelować ryzyko związane z tą podatnością oraz monitorowanie wszelkich działań związanych z bezpieczeństwem w systemie.

Original NVD description (English source)

A flaw has been found in MLflow up to 3.10.0. This issue affects the function mlflow.data.digest_utils of the file mlflow/data/digest_utils.py of the component Dataset Digest Computation. This manipulation causes use of weak hash. It is possible to launch the attack on the local host. The attack is considered to have high complexity. The exploitability is assessed as difficult. The exploit has been published and may be used. The project was informed of the problem early through a pull request but has not reacted yet.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS