PT-2026-54935 · Mlflow · Mlflow

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-8147

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas MLflow versões anteriores a 3.14.0
Description Quando a autenticação está habilitada, os endpoints da API de rastreamento (trace API) carecem de validadores de autorização adequados. Isso ocorre porque o manipulador before request não registra validadores de autorização para esses endpoints, permitindo que qualquer usuário autenticado ignore os controles de acesso ao nível de experimento. Consequentemente, um invasor com uma conta válida pode ler, excluir ou modificar rastreamentos em experimentos aos quais não tem permissão de acesso. Isso pode levar à exposição de dados sensíveis, adulteração da telemetria do experimento e destruição de logs de auditoria.
Recommendations Atualizar para a versão 3.14.0.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-8147

Produtos afetados

Mlflow