CVE-2025-15381: MLflow - Falla de permisos en endpoints (NO_PERMISSIONS)
Plataforma
python
Componente
mlflow
La vulnerabilidad CVE-2025-15381 afecta a MLflow, permitiendo a usuarios con permisos limitados (`NO_PERMISSIONS`) acceder a información de trazas y crear evaluaciones. Esto compromete la confidencialidad y la integridad de los datos. Las versiones afectadas son las últimas. No existe un parche oficial disponible.
Cómo corregirlo
Actualice la biblioteca mlflow/mlflow a la última versión disponible. Esto solucionará la vulnerabilidad de acceso no autorizado a los endpoints de tracing y assessment cuando la aplicación basic-auth está habilitada.
Preguntas frecuentes
¿Qué es CVE-2025-15381?
Es una vulnerabilidad en MLflow que permite el acceso no autorizado a información de trazas y la creación de evaluaciones.
¿Estoy afectado por CVE-2025-15381?
Si utilizas MLflow con la app `basic-auth` habilitada, y tienes usuarios con `NO_PERMISSIONS`, eres vulnerable.
¿Cómo puedo solucionar CVE-2025-15381?
Actualmente no hay una solución oficial. Se recomienda revisar la configuración de permisos y limitar el acceso a los endpoints afectados.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis