CVE-2026-0545: Уразливість автентифікації в mlflow дозволяє обходити basic-auth

Уразливість CVE-2026-0545 в mlflow дозволяє обходити basic-auth і виконувати неавторизовані дії, що загрожує безпеці систем.
CVE-2026-0545CVSS 9.8General

CVE-2026-0545: Уразливість автентифікації в mlflow дозволяє обходити basic-auth

Уразливість CVE-2026-0545 в mlflow дозволяє обходити basic-auth і виконувати неавторизовані дії, що загрожує безпеці систем.

CVSS
9.8 CRITICAL
EPSS
90.13%
Активно використовується
немає в KEV
Продукт
mlflow

Що відомо

У mlflow виявлено критичну уразливість (CVE-2026-0545), через яку кінцеві точки FastAPI для завдань не захищені автентифікацією при увімкненому basic-auth. Зловмисники можуть без облікових даних запускати, читати, шукати та скасовувати завдання, що може призвести до віддаленого виконання коду або DoS.

Бізнес-вплив

Ця уразливість створює серйозний ризик для ІТ-інфраструктури, оскільки дозволяє неавторизованим користувачам керувати завданнями в mlflow, потенційно виконуючи привілейовані дії. Це може спричинити компрометацію систем, витік даних або відмову в обслуговуванні, що негативно впливає на бізнес-процеси та безпеку.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від розробника mlflow, обмежити доступ до кінцевих точок завдань, вимкнути виконання завдань, якщо це можливо, та ретельно аналізувати журнали активності для виявлення підозрілих дій. Важливо також переглянути політики автентифікації та авторизації для запобігання обходу захисту.

Джерела