CVE-2026-0545: RCE sin autenticación en mlflow (≤latest)
Plataforma
python
Componente
mlflow
CVE-2026-0545 es una vulnerabilidad de ejecución remota de código (RCE) sin autenticación en mlflow. Esta falla permite a atacantes remotos ejecutar código arbitrario al omitir la autenticación basic-auth en los endpoints de trabajos FastAPI bajo `/ajax-api/3.0/jobs/*`. La vulnerabilidad afecta a la versión más reciente de mlflow. No hay una solución oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es CVE-2026-0545?
CVE-2026-0545 es una vulnerabilidad crítica en mlflow que permite la ejecución remota de código (RCE) sin autenticación al omitir la autenticación basic-auth en los endpoints de trabajos FastAPI.
¿Estoy afectado por CVE-2026-0545?
Es probable que esté afectado si está utilizando mlflow con la ejecución de trabajos habilitada (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true`) y tiene funciones de trabajo en la lista de permitidos. La vulnerabilidad afecta a la versión más reciente.
¿Cómo solucionar o mitigar CVE-2026-0545?
Actualmente no hay un parche oficial disponible. Como medida de mitigación, se recomienda deshabilitar la ejecución de trabajos (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=false`) o restringir el acceso a la red a los endpoints afectados.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis