PT-2025-26607 · Mlflow · Mlflow

Oxqndo

·

Publicado

2025-06-23

·

Atualizado

2025-09-25

·

CVE-2025-52967

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do Software Vulnerável e Versões Afetadas: Versões do MLflow anteriores à 3.1.0
Descrição: O problema está relacionado ao gateway proxy handler no MLflow, que não possui validação de gateway path. Isso poderia potencialmente levar à exploração.
Recomendações: Para versões anteriores à 3.1.0, atualize para a versão 3.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao gateway proxy handler até que um patch esteja disponível.

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

BDU:2025-09012
BIT-MLFLOW-2025-52967
CVE-2025-52967
GHSA-WXJ7-3FX5-PP9M
PYSEC-2025-52

Produtos afetados

Mlflow