UNKNOWNCVE-2026-0596
CVE-2026-0596: mlflow में कमांड इंजेक्शन (CRITICAL)
प्लेटफ़ॉर्म
python
कॉम्पोनेन्ट
mlflow
CVE-2026-0596 mlflow में एक कमांड इंजेक्शन भेद्यता है जब `enable_mlserver=True` के साथ एक मॉडल परोसा जाता है। `model_uri` को सीधे एक शेल कमांड में एम्बेड किया गया है, जिससे हमलावर नियंत्रित कमांड निष्पादित हो सकते हैं। यह भेद्यता mlflow के नवीनतम संस्करण को प्रभावित करती है। वर्तमान में, कोई आधिकारिक पैच उपलब्ध नहीं है।
कैसे ठीक करें
mlflow लाइब्रेरी (Library) को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह `enable_mlserver=True` के साथ मॉडल (Model) सर्व (Serve) करते समय कमांड इंजेक्शन (Command Injection) भेद्यता को ठीक कर देगा।
अक्सर पूछे जाने वाले सवाल
CVE-2026-0596 क्या है?
यह mlflow में एक कमांड इंजेक्शन भेद्यता है जो मनमाना कोड निष्पादन की अनुमति दे सकती है।
क्या मैं प्रभावित हूँ?
यदि आप mlflow का उपयोग कर रहे हैं और `enable_mlserver=True` के साथ मॉडल परोस रहे हैं, तो आप प्रभावित हो सकते हैं।
इसे कैसे ठीक करें?
वर्तमान में कोई आधिकारिक पैच उपलब्ध नहीं है। `model_uri` इनपुट को मान्य करके भेद्यता को कम करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें