CVE-2026-0596: Inyección de Comandos en mlflow (≤latest)
Plataforma
python
Componente
mlflow
La vulnerabilidad CVE-2026-0596 es un fallo de inyección de comandos presente en mlflow al servir un modelo con `enable_mlserver=True`. El `model_uri` se inserta directamente en un comando shell ejecutado a través de `bash -c` sin la sanitización adecuada. Si `model_uri` contiene metacaracteres shell, permite la ejecución de comandos controlados por el atacante. Afecta a la última versión de mlflow y puede conducir a la escalada de privilegios. No hay una solución oficial disponible actualmente.
Cómo corregirlo
Actualice la biblioteca mlflow a la última versión disponible. Esto corregirá la vulnerabilidad de inyección de comandos al servir modelos con `enable_mlserver=True`.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-0596?
CVE-2026-0596 es una vulnerabilidad de inyección de comandos en mlflow que permite a un atacante ejecutar comandos arbitrarios en el sistema.
¿Estoy afectado por CVE-2026-0596?
Es probable que esté afectado si está utilizando mlflow con la opción `enable_mlserver=True` y sirve modelos desde directorios donde usuarios con menos privilegios tienen permisos de escritura.
¿Cómo puedo solucionar o mitigar CVE-2026-0596?
Actualmente no hay una solución oficial disponible. Como medida de mitigación, evite servir modelos desde directorios donde usuarios con menos privilegios tengan permisos de escritura y desactive `enable_mlserver=True`.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis