PT-2026-54935 · Mlflow · Mlflow
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-8147
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
MLflow versões anteriores a 3.14.0
Description
Quando a autenticação está habilitada, os endpoints da API de rastreamento (trace API) carecem de validadores de autorização adequados. Isso ocorre porque o manipulador
before request não registra validadores de autorização para esses endpoints, permitindo que qualquer usuário autenticado ignore os controles de acesso ao nível de experimento. Consequentemente, um invasor com uma conta válida pode ler, excluir ou modificar rastreamentos em experimentos aos quais não tem permissão de acesso. Isso pode levar à exposição de dados sensíveis, adulteração da telemetria do experimento e destruição de logs de auditoria.Recommendations
Atualizar para a versão 3.14.0.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mlflow