CVE-2026-0545: Krytyczna luka w mlflow umożliwiająca obejście uwierzytelniania

CVE-2026-0545 w mlflow pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Sprawdź zalecenia zabezpieczające i minimalizuj ryzyko.
CVE-2026-0545CVSS 9.8General

CVE-2026-0545: Krytyczna luka w mlflow umożliwiająca obejście uwierzytelniania

CVE-2026-0545 w mlflow pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Sprawdź zalecenia zabezpieczające i minimalizuj ryzyko.

CVSS
9.8 CRITICAL
EPSS
90.13%
Aktywnie wykorzystywana
brak w KEV
Produkt
mlflow

Co wiadomo

W mlflow/mlflow endpointy FastAPI pod 2fajax-api2f3.02fjobs2f* nie są chronione uwierzytelnianiem ani autoryzacją przy w4205czonym basic-auth. Pozwala to na zdalne wykonywanie kodu bez podania danych uwierzytelniających, jeśli w4205czona jest obs42uga zada44 i dozwolone s05 funkcje wykonuj05ce uprzywilejowane operacje.

Wpływ biznesowy

Ta luka o krytycznym poziomie zagro7cenia (CVSS 9.8) mo7ce prowadzi07 do nieautoryzowanego uruchamiania kodu na serwerze mlflow, co zagra7ca integralno5bci i poufno5bci danych. Mo7ce rf3wnie7c skutkowa07 spamem zada44, atakami DoS lub ujawnieniem danych wynikf3w zada44, co jest istotne dla operatorf3w IT i w42a5bcicieli infrastruktury.

Rekomendowane działania administratora

Zaleca si19 natychmiastowe przejrzenie i aktualizacj19 konfiguracji mlflow, w szczegf3lno5bci dotycz05cej uwierzytelniania i autoryzacji endpointf3w zada44. Nale7cy ograniczy07 dost19p do funkcji wykonuj05cych uprzywilejowane operacje oraz monitorowa07 logi pod k05tem nieautoryzowanych wywo42a44. W przypadku braku oficjalnej poprawki warto rozwa7cy07 ograniczenie ekspozycji serwisu i priorytetyzacj19 dalszych dzia42a44 zabezpieczaj05cych.

Źródła