CRITICAL🇬🇧 English

CVE-2025-15036

Path traversal w MLflow — nadpisanie plików i eskalacja uprawnień

CVSS 10.0v3.1pub. 2026-03-30upd. 2026-06-30

W repozytorium mlflow/mlflow wykryto podatność typu path traversal w funkcji `extract_archive_to_dir`, umożliwiającą atakującemu nadpisanie dowolnych plików lub eskalację uprawnień. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną, szczególnie w środowiskach wielodostępnych.

Pokaż oryginał (EN)

A path traversal vulnerability exists in the `extract_archive_to_dir` function within the `mlflow/pyfunc/dbconnect_artifact_cache.py` file of the mlflow/mlflow repository. This vulnerability, present in versions before v3.7.0, arises due to the lack of validation of tar member paths during extraction. An attacker with control over the tar.gz file can exploit this issue to overwrite arbitrary files or gain elevated privileges, potentially escaping the sandbox directory in multi-tenant or shared cluster environments.

🤖 Analiza AI
Jak działa

Podatność wynika z braku walidacji ścieżek członków archiwum tar podczas ich wypakowywania w pliku `mlflow/pyfunc/dbconnect_artifact_cache.py`. Atakujący kontrolujący zawartość pliku tar.gz może umieścić w archiwum wpisy ze specjalnie spreparowanymi ścieżkami (np. zawierającymi sekwencje `../`), które po wypakowaniu zapiszą pliki poza docelowym katalogiem. W ten sposób możliwe jest opuszczenie katalogu sandbox i zapis w dowolnej lokalizacji systemu plików dostępnej dla procesu MLflow.

Skutki

Atakujący może nadpisać dowolne pliki na serwerze lub uzyskać podwyższone uprawnienia, co w środowiskach wielodostępnych lub klastrach współdzielonych może prowadzić do pełnego przejęcia kontroli nad systemem lub innymi dzierżawcami.

Mitygacja

Należy zaktualizować MLflow do wersji v3.7.0 lub nowszej, w której wprowadzono walidację ścieżek członków archiwum tar. Szczegóły poprawki dostępne są w commicie 3bf6d81ac4d38654c8ff012dbd0c3e9f17e7e346 w repozytorium GitHub mlflow/mlflow.

Kogo dotyczy

MLflow (mlflow/mlflow) w wersjach przed v3.7.0.

Uwagi

Podatność została zgłoszona za pośrednictwem platformy Huntr (bounty 36c314cf-fd6e-4fb0-b9b0-1b47bcdf0eb0). Szczególnie istotna w środowiskach wielodostępnych (multi-tenant) oraz współdzielonych klastrach obliczeniowych, gdzie różni użytkownicy mogą dostarczać archiwa tar.gz.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Lfprojects Mlflow

    APP
    Lfprojects
    < 3.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-2651CRITICAL9.0PL ✓ten sam produkt

MLflow: nieautoryzowany dostęp do endpointów multipart upload (RCE)

CVE-2026-2611CRITICAL9.6PL ✓ten sam produkt

MLflow: nieprawidłowa walidacja origin umożliwia RCE przez cross-origin request

CVE-2026-0545CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w endpointach FastAPI jobs w MLflow (Auth Bypass / RCE)

CVE-2025-15379CRITICAL9.8PL ✓ten sam produkt

Command injection w MLflow podczas inicjalizacji kontenera modelu

CVE-2025-15031CRITICAL9.1PL ✓ten sam produkt

MLflow: path traversal w ekstrakcji archiwów tar umożliwia RCE