Plattform
python
Komponente
mlflow
Behoben in
3.11.0
3.11.1
CVE-2026-33865 reveals a Stored Cross-Site Scripting (XSS) vulnerability within MLflow, stemming from unsafe parsing of YAML-based MLmodel artifacts in its web interface. An authenticated attacker can upload a malicious MLmodel file containing a payload that executes when another user views the artifact in the UI. The vulnerability impacts versions from 0.0.0 through 3.10.1. A patch has been released to address this security concern.
CVE-2026-33865 betrifft MLflow und setzt Benutzer einem Risiko von Cross-Site Scripting (XSS) aus, das gespeichert wird. Die Schwachstelle liegt in der Art und Weise, wie MLflow YAML-basierte MLmodel-Artefakte in seiner Web-Oberfläche verarbeitet. Ein authentifizierter Angreifer kann eine bösartige MLmodel-Datei hochladen, die eine XSS-Payload enthält. Wenn ein anderer Benutzer dieses Artefakt in der Benutzeroberfläche ansieht, wird die Payload ausgeführt, wodurch der Angreifer möglicherweise Sitzungen stehlen, Aktionen im Namen des Opfers ausführen oder sogar die Systemsicherheit gefährden kann. Diese Schwachstelle ist besonders besorgniserregend in Umgebungen, in denen mehrere Benutzer MLflow-Modelle zugreifen und gemeinsam nutzen.
Die Ausnutzung dieser Schwachstelle erfordert, dass sich der Angreifer innerhalb des MLflow-Systems authentifiziert. Der Angreifer muss in der Lage sein, eine MLmodel-Datei hochzuladen. Die XSS-Payload ist in die YAML-Datei des Artefakts eingebettet. Wenn ein nicht bösartiger Benutzer über die MLflow-Weboberfläche auf das Artefakt zugreift, wird die Payload im Kontext des Browsers des Benutzers ausgeführt, wodurch der Angreifer bösartige Aktionen ausführen kann. Die Schwere der Schwachstelle hängt vom Zugriffsniveau des Angreifers und den Aktionen ab, die er im Namen des Opfers ausführen kann.
Organizations using MLflow for machine learning model management, particularly those relying on the web interface for artifact viewing and collaboration, are at risk. Teams using older, unpatched versions of MLflow (0.0.0 - 3.10.1) are especially vulnerable. Shared MLflow instances or deployments where multiple users can upload and view artifacts increase the potential attack surface.
• python / mlflow: Inspect MLmodel artifact YAML files for suspicious JavaScript code.
import yaml
def check_yaml(file_path):
try:
with open(file_path, 'r') as f:
data = yaml.safe_load(f)
# Add logic to check for suspicious javascript code
except yaml.YAMLError as e:
print(f"Error parsing YAML: {e}")• generic web: Monitor MLflow web interface logs for unusual JavaScript execution patterns or error messages related to YAML parsing. • generic web: Check for unexpected changes in user behavior or access patterns that could indicate session hijacking.
disclosure
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
Die Lösung zur Minderung von CVE-2026-33865 ist das Upgrade auf MLflow-Version 3.11.0 oder höher. Diese Version enthält eine Korrektur, die die unsichere Verarbeitung von YAML-Dateien behebt und die Ausführung von XSS-Payloads verhindert. In der Zwischenzeit wird empfohlen, den Zugriff auf die Funktionalität zum Hochladen von MLmodel-Artefakten auf vertrauenswürdige Benutzer zu beschränken. Die Implementierung einer Content Security Policy (CSP) in der MLflow-Weboberfläche kann eine zusätzliche Schutzschicht bieten, obwohl dies keine vollständige Lösung ist. Nach dem Upgrade sollten gründliche Tests durchgeführt werden, um sicherzustellen, dass die Korrektur korrekt angewendet wurde und keine neuen Probleme verursacht hat.
Actualice MLflow a la versión 3.11.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que se analizan los artefactos MLmodel basados en YAML, evitando la ejecución de scripts maliciosos en la interfaz web.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Gespeichertes (oder persistentes) XSS tritt auf, wenn ein Angreifer bösartigen Code in eine Website injiziert, der dann in den Browsern anderer Benutzer ausgeführt wird. In diesem Fall wird der Code auf dem Server (im MLmodel-Artefakt) gespeichert und jedes Mal ausgeführt, wenn ein Benutzer das Artefakt ansieht.
Wenn Sie eine MLflow-Version vor 3.11.0 verwenden, sind Sie wahrscheinlich betroffen. Überprüfen Sie die MLflow-Dokumentation, um weitere Informationen darüber zu erhalten, wie Sie Ihre Version überprüfen können.
Wenn Sie vermuten, dass Sie Opfer eines Angriffs geworden sind, ändern Sie sofort Ihre Passwörter und überprüfen Sie die Systemprotokolle auf verdächtige Aktivitäten. Wenden Sie sich an einen Sicherheitsexperten, um weitere Unterstützung zu erhalten.
Wenn Sie nicht sofort aktualisieren können, beschränken Sie den Zugriff auf die Funktionalität zum Hochladen von MLmodel-Artefakten auf vertrauenswürdige Benutzer und implementieren Sie eine Content Security Policy (CSP).
XSS-Payloads können variieren, umfassen aber häufig Skripte, die Sitzungscookies stehlen, Benutzer auf bösartige Websites umleiten oder bösartigen Inhalt in die Webseite einschleusen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.