Katalog CVE

CVE-2026-8147

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

W MLflow w wersjach przed 3.14.0, przy włączonym uwierzytelnianiu, punkty końcowe API śledzenia (trace) nie mają odpowiednich walidatorów autoryzacji. Pozwala to każdemu uwierzytelnionemu użytkownikowi na ominięcie kontroli autoryzacji na poziomie eksperymentu dla wszystkich operacji na śladach, w tym odczytu, usuwania i modyfikacji śladów w eksperymentach, do których nie ma uprawnień. Problem wynika z procedury `_before_request`, która nie rejestruje walidatorów autoryzacji dla punktów końcowych śledzenia, co powoduje, że żądania są przetwarzane bez weryfikacji.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych, zniszczenie dzienników audytu oraz nieautoryzowane modyfikacje danych eksperymentów, co może prowadzić do naruszenia integralności i poufności systemu.

Rekomendacja

Należy natychmiast zaktualizować MLflow do wersji 3.14.0 lub nowszej, która zawiera poprawkę usuwającą tę lukę. Jeśli aktualizacja nie jest możliwa, należy tymczasowo ograniczyć dostęp do API śledzenia tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

In MLflow versions prior to 3.14.0, when running with authentication enabled, the trace API endpoints lack proper authorization validators. This allows any authenticated user to bypass experiment-level authorization controls on all trace operations, including reading, deleting, and modifying traces on experiments they do not have permission to access. The issue arises from the `_before_request` handler, which does not register authorization validators for trace endpoints, resulting in requests proceeding without validation. This vulnerability can expose sensitive data, destroy audit logs, and allow unauthorized modifications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS