Katalog CVE

CVE-2026-13484

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W MLflow do wersji 4666cffc7912ea606d592fc38d6a75e2935f65e7 wykryto brak autoryzacji w API CRUD dla schematów etykiet w zakresie eksperymentu. Luka umożliwia zdalne manipulowanie danymi bez odpowiedniego uwierzytelnienia, choć jej wykorzystanie jest trudne ze względu na wysoką złożoność ataku.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do schematów etykiet eksperymentów, co może prowadzić do naruszenia integralności danych i potencjalnego wycieku informacji. Atak wymaga jednak zaawansowanych umiejętności i jest trudny do przeprowadzenia.

Rekomendacja

Należy natychmiast zaktualizować MLflow do wersji zawierającej poprawkę po oficjalnym wydaniu łatki. Do czasu aktualizacji zaleca się ograniczenie dostępu do API CRUD dla schematów etykiet za pomocą reguł firewall lub mechanizmów autoryzacji na poziomie sieci.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been found in MLflow up to 4666cffc7912ea606d592fc38d6a75e2935f65e7. The impacted element is an unknown function of the component Experiment-scoped Label Schema CRUD API. Such manipulation leads to missing authorization. It is possible to launch the attack remotely. A high complexity level is associated with this attack. The exploitability is regarded as difficult. The exploit has been disclosed to the public and may be used. A reply to the GitHub issue explains, that "[t]he labeling schema PR has not been merged yet. The auth handlers will be added before the release."

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS