CVE-2026-0545: Уразливість автентифікації в mlflow дозволяє обходити basic-auth
Уразливість CVE-2026-0545 в mlflow дозволяє обходити basic-auth і виконувати неавторизовані дії, що загрожує безпеці систем.
- CVSS
- 9.8 CRITICAL
- EPSS
- 90.13%
- Активно використовується
- немає в KEV
- Продукт
- mlflow
Що відомо
У mlflow виявлено критичну уразливість (CVE-2026-0545), через яку кінцеві точки FastAPI для завдань не захищені автентифікацією при увімкненому basic-auth. Зловмисники можуть без облікових даних запускати, читати, шукати та скасовувати завдання, що може призвести до віддаленого виконання коду або DoS.
Бізнес-вплив
Ця уразливість створює серйозний ризик для ІТ-інфраструктури, оскільки дозволяє неавторизованим користувачам керувати завданнями в mlflow, потенційно виконуючи привілейовані дії. Це може спричинити компрометацію систем, витік даних або відмову в обслуговуванні, що негативно впливає на бізнес-процеси та безпеку.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від розробника mlflow, обмежити доступ до кінцевих точок завдань, вимкнути виконання завдань, якщо це можливо, та ретельно аналізувати журнали активності для виявлення підозрілих дій. Важливо також переглянути політики автентифікації та авторизації для запобігання обходу захисту.