mlflow vulnérable à une traversée de chemin (Path Traversal)

L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers et des répertoires sensibles sur le serveur MLflow. Cela peut entraîner une perte de données, une perturbation du service et potentiellement un accès non autorisé à d'autres ressources système. L'attaquant pourrait cibler des fichiers de configuration, des modèles d'apprentissage automatique ou des données d'entraînement, compromettant ainsi l'intégrité et la confidentialité du système. En raison de la nature de traversal de chemin, l'attaquant n'est pas limité à la suppression d'artefacts MLflow, mais peut potentiellement affecter l'ensemble du système de fichiers accessible au processus MLflow.

Organizations heavily reliant on MLflow for model tracking, deployment, and management are at significant risk. Specifically, environments with shared MLflow instances or those lacking robust access controls are particularly vulnerable. Users who have write access to the MLflow artifact store are potential threat actors.

• python / server:

import os
import subprocess

def check_mlflow_vulnerability():
    try:
        result = subprocess.run(['mlflow', 'artifacts', 'list'], capture_output=True, text=True, check=True)
        if '2.9.2' in result.stdout:
            print("MLflow version is vulnerable.")
        else:
            print("MLflow version is likely patched.")
    except FileNotFoundError:
        print("MLflow not found.")
check_mlflow_vulnerability()

• linux / server:

journalctl -u mlflow -g 'artifact deletion' | grep -i error

• generic web: Use curl to test artifact deletion endpoints with path traversal payloads (e.g., curl 'http://mlflow-server/artifacts/../sensitive_file') and observe the response.

1. 2024-04-16Disclosure

   disclosure

1. Réservé2024-02-15
2. Publiée2024-04-16
3. Modifiée2025-02-04
4. EPSS mis à jour2026-04-02

La mitigation immédiate consiste à mettre à jour MLflow vers une version corrigée dès que possible. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en œuvre. Il est crucial de restreindre les autorisations du processus MLflow pour limiter l'accès au système de fichiers. La configuration d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, en particulier les tentatives de suppression de fichiers non autorisées. Une analyse approfondie du code peut identifier et corriger le problème de double décodage.