Accès non autorisé aux points de terminaison de traçage et d'évaluation dans mlflow/mlflow

Dans la dernière version de mlflow/mlflow, lorsque l'application `basic-auth` est activée, les points de terminaison de traçage et d'évaluation ne sont pas protégés par des validateurs d'autorisation. Cela permet à tout utilisateur authentifié, y compris ceux avec `NO_PERMISSIONS` sur l'expérience, de lire les informations de trace et de créer des évaluations pour les traces auxquelles ils ne devraient pas avoir accès. Cette vulnérabilité affecte la confidentialité en exposant les métadonnées de trace et l'intégrité en permettant la création non autorisée d'évaluations. Les déploiements utilisant `mlflow server --app-name=basic-auth` sont affectés.