CVE-2026-0545: Krytyczna luka w mlflow umożliwiająca obejście uwierzytelniania
CVE-2026-0545 w mlflow pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Sprawdź zalecenia zabezpieczające i minimalizuj ryzyko.
- CVSS
- 9.8 CRITICAL
- EPSS
- 90.13%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- mlflow
Co wiadomo
W mlflow/mlflow endpointy FastAPI pod 2fajax-api 2f3.0 2fjobs 2f* nie są chronione uwierzytelnianiem ani autoryzacją przy w4205czonym basic-auth. Pozwala to na zdalne wykonywanie kodu bez podania danych uwierzytelniających, jeśli w4205czona jest obs42uga zada44 i dozwolone s05 funkcje wykonuj05ce uprzywilejowane operacje.
Wpływ biznesowy
Ta luka o krytycznym poziomie zagro7cenia (CVSS 9.8) mo7ce prowadzi07 do nieautoryzowanego uruchamiania kodu na serwerze mlflow, co zagra7ca integralno5bci i poufno5bci danych. Mo7ce r f3wnie7c skutkowa07 spamem zada44, atakami DoS lub ujawnieniem danych wynik f3w zada44, co jest istotne dla operator f3w IT i w42a5bcicieli infrastruktury.
Rekomendowane działania administratora
Zaleca si19 natychmiastowe przejrzenie i aktualizacj19 konfiguracji mlflow, w szczeg f3lno5bci dotycz05cej uwierzytelniania i autoryzacji endpoint f3w zada44. Nale7cy ograniczy07 dost19p do funkcji wykonuj05cych uprzywilejowane operacje oraz monitorowa07 logi pod k05tem nieautoryzowanych wywo42a44. W przypadku braku oficjalnej poprawki warto rozwa7cy07 ograniczenie ekspozycji serwisu i priorytetyzacj19 dalszych dzia42a44 zabezpieczaj05cych.