MLflow w wersji 3.9.0 zawiera błąd nieprawidłowej walidacji origin (CWE-346) w endpointach /ajax-api funkcji MLflow Assistant. Podatność umożliwia zdalnemu atakującemu wykonanie dowolnych poleceń na lokalnej maszynie ofiary poprzez spreparowaną stronę internetową.
▸ Pokaż oryginał (EN)
In MLflow version 3.9.0, the MLflow Assistant feature introduced improper origin validation in its /ajax-api endpoints. This vulnerability allows a remote attacker to exploit cross-origin requests from a malicious webpage to interact with the MLflow Assistant running on a victim's local machine. By bypassing the loopback-only restriction, the attacker can modify the Assistant's configuration to enable full access, which in turn allows the execution of arbitrary commands via the Claude Code sub-agent. This issue is resolved in version 3.10.0.
Atakujący przygotowuje złośliwą stronę internetową, z której wysyłane są cross-origin requesty do endpointów /ajax-api MLflow Assistant działającego na lokalnej maszynie ofiary. Podatność wynika z braku prawidłowej walidacji pochodzenia żądań, co pozwala ominąć ograniczenie dostępu wyłącznie przez loopback (localhost). Po uzyskaniu dostępu atakujący modyfikuje konfigurację Assistanta, aby włączyć pełny dostęp, a następnie wykonuje dowolne polecenia systemowe za pośrednictwem sub-agenta Claude Code.
Atakujący może uzyskać pełną kontrolę nad konfiguracją MLflow Assistant i wykonać dowolne polecenia na maszynie ofiary, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności systemu.
Należy zaktualizować MLflow do wersji 3.10.0, w której problem został rozwiązany. Poprawka dostępna jest w repozytorium projektu (commit 8f9c8a53af90842944101eb8b7d60706822c81bc).
MLflow w wersji 3.9.0 z włączoną funkcją MLflow Assistant.
Podatność wymaga interakcji użytkownika (UI:R) — ofiara musi odwiedzić złośliwą stronę internetową podczas działania MLflow Assistant na jej lokalnej maszynie. Szczegóły techniczne dostępne w zgłoszeniu na platformie huntr.com.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HLfprojects Mlflow
APPLfprojects3.9.0 – 3.10.0 (bez)
Powiązane podatności
MLflow: nieautoryzowany dostęp do endpointów multipart upload (RCE)
Brak uwierzytelnienia w endpointach FastAPI jobs w MLflow (Auth Bypass / RCE)
Command injection w MLflow podczas inicjalizacji kontenera modelu
Path traversal w MLflow — nadpisanie plików i eskalacja uprawnień
MLflow: path traversal w ekstrakcji archiwów tar umożliwia RCE