CVE-2026-0545: mlflow - Exécution de code à distance sans authentification
Plateforme
python
Composant
mlflow
La vulnérabilité CVE-2026-0545 affecte mlflow, un outil de gestion du cycle de vie du machine learning. Elle réside dans l'absence de protection par authentification ou autorisation pour les points de terminaison FastAPI des tâches, même lorsque l'authentification basique est activée. Si l'exécution des tâches est activée et que des fonctions de tâches sont autorisées, tout client réseau peut soumettre, lire, rechercher et annuler des tâches sans avoir besoin d'identifiants, ce qui peut conduire à une exécution de code à distance non authentifiée. Les versions concernées sont toutes les versions jusqu'à la dernière disponible.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que CVE-2026-0545 ?
CVE-2026-0545 est une vulnérabilité critique dans mlflow qui permet à des attaquants non authentifiés de soumettre, lire, rechercher et annuler des tâches, potentiellement conduisant à une exécution de code à distance si les tâches autorisées effectuent des actions privilégiées.
Suis-je affecté ?
Si vous utilisez mlflow avec l'exécution des tâches activée (MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true) et que des fonctions de tâches sont autorisées, vous êtes potentiellement affecté par cette vulnérabilité, quelle que soit la version de mlflow utilisée.
Comment puis-je corriger ou atténuer cette vulnérabilité ?
La solution recommandée est de mettre à jour mlflow vers une version corrigée dès que disponible. En attendant, désactivez l'exécution des tâches (MLFLOW_SERVER_ENABLE_JOB_EXECUTION=false) ou restreignez strictement les fonctions de tâches autorisées pour limiter l'impact potentiel.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement