मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-2614

CVE-2026-2614: Arbitrary File Access in mlflow/mlflow

प्लेटफ़ॉर्म

python

घटक

mlflow

में ठीक किया गया

3.10.0

NVD पर देखें
सहेजें

mlflow/mlflow में createmodelversion() हैंडलर में एक भेद्यता पाई गई है, जो अनधिकृत फ़ाइल एक्सेस की अनुमति देती है। यह भेद्यता संस्करण 0.0.0 से 3.10.0 तक के mlflow/mlflow को प्रभावित करती है। एक हमलावर mlflow.prompt.isprompt टैग का उपयोग करके स्रोत पथ सत्यापन को बायपास कर सकता है और सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ सकता है। 3.10.0 में अपग्रेड करके या स्रोत पथ सत्यापन को मजबूत करके इस समस्या का समाधान किया जा सकता है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता एक हमलावर को सर्वर के फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है, जिसमें संवेदनशील डेटा, कॉन्फ़िगरेशन फ़ाइलें और अन्य महत्वपूर्ण जानकारी शामिल हो सकती है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और अन्य गंभीर परिणाम हो सकते हैं। चूंकि यह भेद्यता प्रमाणीकरण की आवश्यकता को बायपास करती है, इसलिए यह विशेष रूप से खतरनाक है, क्योंकि यह किसी भी हमलावर को शोषण करने की अनुमति देती है, भले ही उनके पास सिस्टम तक पहुंच न हो। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध के माध्यम से मनमाना कोड निष्पादित किया जा सकता है या डेटा उजागर किया जा सकता है।

शोषण संदर्भ

CVE-2026-2614 को अभी तक KEV पर सूचीबद्ध नहीं किया गया है, लेकिन इसकी CVSS स्कोर 7.5 है, जो इसे उच्च संभावना वाला शोषण बनाता है। सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC विकसित किए जाएंगे। CISA ने इस भेद्यता के बारे में कोई चेतावनी जारी नहीं की है, लेकिन यह अनुशंसा की जाती है कि प्रभावित सिस्टम के मालिक इस भेद्यता के बारे में जागरूक रहें और उचित शमन उपाय करें।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (12% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकmlflow
विक्रेताmlflow
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण3.10.0
में ठीक किया गया3.10.0

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, प्रभावित सिस्टम पर mlflow/mlflow को संस्करण 3.10.0 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो स्रोत पथ सत्यापन को मजबूत करने के लिए एक अस्थायी समाधान लागू किया जा सकता है। इसमें mlflow.prompt.is_prompt टैग को हटाने या इसे मान्य करने के लिए अतिरिक्त जांच जोड़ने शामिल हो सकते हैं। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को ब्लॉक करना भी संभव है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई भी अनधिकृत फ़ाइलें अब एक्सेस नहीं की जा सकती हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 3.10.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema de validación de la fuente al leer archivos, evitando la lectura arbitraria de archivos del sistema.

अक्सर पूछे जाने वाले सवाल

CVE-2026-2614 — मनमाना फ़ाइल एक्सेस mlflow/mlflow में क्या है?

CVE-2026-2614 एक भेद्यता है जो हमलावरों को प्रमाणीकरण के बिना सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है, mlflow.prompt.is_prompt टैग का उपयोग करके स्रोत पथ सत्यापन को बायपास करके।

क्या मैं CVE-2026-2614 से mlflow/mlflow प्रभावित हूं?

यदि आप mlflow/mlflow संस्करण 0.0.0 से 3.10.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-2614 में mlflow/mlflow को कैसे ठीक करूं?

इस भेद्यता को ठीक करने के लिए, प्रभावित सिस्टम पर mlflow/mlflow को संस्करण 3.10.0 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-2614 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही शोषण विकसित किए जाएंगे।

मैं CVE-2026-2614 के लिए आधिकारिक mlflow/mlflow सलाहकार कहां पा सकता हूं?

आप आधिकारिक mlflow सलाहकार यहां पा सकते हैं: [mlflow सलाहकार लिंक - यदि उपलब्ध हो]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock
liveमुफ्त स्कैन

अपने Python प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your requirements.txt and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...