mlflow/mlflow में क्रिटिकल फंक्शन के लिए प्रमाणीकरण (Authentication) गायब है

mlflow/mlflow में, `/ajax-api/3.0/jobs/*` के अंतर्गत FastAPI जॉब एंडपॉइंट्स `basic-auth` ऐप सक्षम होने पर प्रमाणीकरण (Authentication) या प्राधिकरण (Authorization) द्वारा सुरक्षित नहीं हैं। यह भेद्यता रिपॉजिटरी के नवीनतम संस्करण को प्रभावित करती है। यदि जॉब निष्पादन सक्षम है (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true`) और कोई भी जॉब फ़ंक्शन अनुमति प्राप्त है, तो कोई भी नेटवर्क क्लाइंट क्रेडेंशियल के बिना जॉब सबमिट, पढ़, खोज और रद्द कर सकता है, जिससे basic-auth पूरी तरह से बाईपास हो जाता है। इससे अप्रमाणित रिमोट कोड निष्पादन (unauthenticated remote code execution) हो सकता है यदि अनुमत जॉब विशेषाधिकार प्राप्त क्रियाएं करते हैं जैसे कि शेल निष्पादन या फ़ाइल सिस्टम परिवर्तन। भले ही जॉब को सुरक्षित माना जाए, फिर भी यह प्रमाणीकरण (Authentication) बाईपास का गठन करता है, जिसके परिणामस्वरूप संभावित रूप से जॉब स्पैम, सेवा से इनकार (DoS), या जॉब परिणामों में डेटा एक्सपोजर हो सकता है।