CRITICAL🇬🇧 English

CVE-2025-11200

MLflow: Bypass uwierzytelnienia przez słabe wymagania dotyczące haseł

CVSS 9.8v3.1pub. 2025-10-29upd. 2025-12-31

Podatność w MLflow umożliwia zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez konieczności posiadania jakichkolwiek uprawnień. Błąd wynika ze zbyt słabych wymagań dotyczących haseł, co pozwala na nieautoryzowany dostęp do systemu.

Pokaż oryginał (EN)

MLflow Weak Password Requirements Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of MLflow. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of passwords. The issue results from weak password requirements. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-26916.

🤖 Analiza AI
Jak działa

Problem tkwi w mechanizmie obsługi haseł w MLflow — system nie egzekwuje odpowiednio silnych wymagań dotyczących złożoności lub długości haseł (CWE-521). Atakujący może wykorzystać tę słabość, aby zdalnie ominąć uwierzytelnienie bez interakcji użytkownika ani znajomości istniejących danych logowania. Exploit nie wymaga żadnych wstępnych uprawnień ani specjalnych warunków sieciowych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do instalacji MLflow, potencjalnie prowadząc do pełnego naruszenia poufności, integralności oraz dostępności danych i modeli uczenia maszynowego przechowywanych w systemie.

Mitygacja

Należy zastosować patch dostępny w repozytorium MLflow (commit 1f74f3f24d8273927b8db392c23e108576936c54) oraz zaktualizować instalację zgodnie z zaleceniami producenta. Dodatkowo zaleca się wymuszenie zmiany haseł na wszystkich kontach oraz wdrożenie silnych polityk dotyczących złożoności haseł.

Kogo dotyczy

Produkty Lfprojects MLflow — dokładne wersje wskazane w referencjach producenta oraz w poradniku ZDI-25-932

Uwagi

Podatność została zgłoszona przez Zero Day Initiative jako ZDI-CAN-26916 i opisana w poradniku ZDI-25-932. Fix dostępny jest w publicznym repozytorium GitHub projektu MLflow.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lfprojects Mlflow

    APP
    Lfprojects
    ≤ 2.21.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-2651CRITICAL9.0PL ✓ten sam produkt

MLflow: nieautoryzowany dostęp do endpointów multipart upload (RCE)

CVE-2026-2611CRITICAL9.6PL ✓ten sam produkt

MLflow: nieprawidłowa walidacja origin umożliwia RCE przez cross-origin request

CVE-2026-0545CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w endpointach FastAPI jobs w MLflow (Auth Bypass / RCE)

CVE-2025-15379CRITICAL9.8PL ✓ten sam produkt

Command injection w MLflow podczas inicjalizacji kontenera modelu

CVE-2025-15036CRITICAL10.0PL ✓ten sam produkt

Path traversal w MLflow — nadpisanie plików i eskalacja uprawnień