CRITICAL🇬🇧 English

CVE-2026-2611

MLflow: nieprawidłowa walidacja origin umożliwia RCE przez cross-origin request

CVSS 9.6v3.0pub. 2026-05-19upd. 2026-06-27

MLflow w wersji 3.9.0 zawiera błąd nieprawidłowej walidacji origin (CWE-346) w endpointach /ajax-api funkcji MLflow Assistant. Podatność umożliwia zdalnemu atakującemu wykonanie dowolnych poleceń na lokalnej maszynie ofiary poprzez spreparowaną stronę internetową.

Pokaż oryginał (EN)

In MLflow version 3.9.0, the MLflow Assistant feature introduced improper origin validation in its /ajax-api endpoints. This vulnerability allows a remote attacker to exploit cross-origin requests from a malicious webpage to interact with the MLflow Assistant running on a victim's local machine. By bypassing the loopback-only restriction, the attacker can modify the Assistant's configuration to enable full access, which in turn allows the execution of arbitrary commands via the Claude Code sub-agent. This issue is resolved in version 3.10.0.

🤖 Analiza AI
Jak działa

Atakujący przygotowuje złośliwą stronę internetową, z której wysyłane są cross-origin requesty do endpointów /ajax-api MLflow Assistant działającego na lokalnej maszynie ofiary. Podatność wynika z braku prawidłowej walidacji pochodzenia żądań, co pozwala ominąć ograniczenie dostępu wyłącznie przez loopback (localhost). Po uzyskaniu dostępu atakujący modyfikuje konfigurację Assistanta, aby włączyć pełny dostęp, a następnie wykonuje dowolne polecenia systemowe za pośrednictwem sub-agenta Claude Code.

Skutki

Atakujący może uzyskać pełną kontrolę nad konfiguracją MLflow Assistant i wykonać dowolne polecenia na maszynie ofiary, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować MLflow do wersji 3.10.0, w której problem został rozwiązany. Poprawka dostępna jest w repozytorium projektu (commit 8f9c8a53af90842944101eb8b7d60706822c81bc).

Kogo dotyczy

MLflow w wersji 3.9.0 z włączoną funkcją MLflow Assistant.

Uwagi

Podatność wymaga interakcji użytkownika (UI:R) — ofiara musi odwiedzić złośliwą stronę internetową podczas działania MLflow Assistant na jej lokalnej maszynie. Szczegóły techniczne dostępne w zgłoszeniu na platformie huntr.com.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Lfprojects Mlflow

    APP
    Lfprojects
    3.9.0 – 3.10.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-2651CRITICAL9.0PL ✓ten sam produkt

MLflow: nieautoryzowany dostęp do endpointów multipart upload (RCE)

CVE-2026-0545CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w endpointach FastAPI jobs w MLflow (Auth Bypass / RCE)

CVE-2025-15379CRITICAL9.8PL ✓ten sam produkt

Command injection w MLflow podczas inicjalizacji kontenera modelu

CVE-2025-15036CRITICAL10.0PL ✓ten sam produkt

Path traversal w MLflow — nadpisanie plików i eskalacja uprawnień

CVE-2025-15031CRITICAL9.1PL ✓ten sam produkt

MLflow: path traversal w ekstrakcji archiwów tar umożliwia RCE