CVE-2026-2651
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność w MLflow w wersjach do 3.10.1.dev0 umożliwia nieautoryzowany dostęp do endpointów przesyłania wieloczęściowego (MPU) po włączeniu trybu `--serve-artifacts`. Mechanizm autoryzacji nie wymusza kontroli uprawnień na poziomie zasobów dla endpointów `/mlflow-artifacts/mpu/*`, co pozwala atakującym nadpisywać artefakty innych użytkowników.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowane zapisy między użytkownikami, zatrucie łańcucha dostaw modeli oraz zdalne wykonanie kodu po załadowaniu skompromitowanych modeli.
Rekomendacja
Należy natychmiast zaktualizować MLflow do wersji 3.10.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy wyłączyć tryb `--serve-artifacts` lub ograniczyć dostęp do endpointów MPU za pomocą zapory sieciowej.
Oryginalny opis (angielski, źródło NVD)
A vulnerability in MLflow versions <=3.10.1.dev0 allows unauthorized access to multipart upload (MPU) endpoints when the `--serve-artifacts` mode is enabled. The authorization logic does not enforce resource-level permission checks for `/mlflow-artifacts/mpu/*` endpoints, enabling attackers to overwrite artifacts belonging to other users. This can lead to unauthorized cross-user writes, model supply chain poisoning, and arbitrary code execution when compromised models are loaded. The issue is resolved in version 3.10.0.

