CVE-2026-2393

Nome do Software Vulnerável e Versões Afetadas MLflow versões anteriores a 3.9.0

Descrição Um problema de Server-Side Request Forgery (SSRF) existe onde a função create webhook() em mlflow/server/handlers.py aceita um parâmetro url controlado pelo usuário sem validação. Subsequentemente, a função send webhook request() em mlflow/webhooks/delivery.py envia requisições HTTP POST para esta URL controlada pelo atacante. Isso permite que um atacante autenticado force o backend a enviar requisições HTTP para serviços internos, endpoints de metadados de nuvem ou servidores externos arbitrários. A falta de sanitização de entrada, filtragem de esquema de URL ou validação de lista de permissões permite o potencial roubo de credenciais de nuvem, acesso à rede interna e exfiltração de dados.

Recomendações Atualize para a versão 3.9.0 ou posterior.