प्लेटफ़ॉर्म
python
घटक
mlflow
में ठीक किया गया
3.8.2
CVE-2025-15381, mlflow/mlflow के नवीनतम संस्करण में, जब basic-auth ऐप सक्षम होता है, तो ट्रेसिंग और मूल्यांकन एंडपॉइंट अनुमति सत्यापनकर्ताओं द्वारा सुरक्षित नहीं होते हैं। यह किसी भी प्रमाणित उपयोगकर्ता को, प्रयोग पर NO_PERMISSIONS वाले लोगों सहित, ट्रेस जानकारी पढ़ने और उन ट्रेसों के लिए आकलन बनाने की अनुमति देता है, जिन तक उनकी पहुंच नहीं होनी चाहिए। यह भेद्यता ट्रेस मेटाडेटा को उजागर करके गोपनीयता और अनधिकृत आकलन निर्माण की अनुमति देकर अखंडता को प्रभावित करती है। mlflow server --app-name=basic-auth का उपयोग करने वाले परिनियोजन प्रभावित होते हैं। कोई आधिकारिक पैच उपलब्ध नहीं है।
mlflow/mlflow में CVE-2025-15381 उन डिप्लॉयमेंट को प्रभावित करता है जो बेसिक ऑथेंटिकेशन (basic-auth) का उपयोग करते हैं और ट्रैकिंग और मूल्यांकन एंडपॉइंट सक्षम हैं। इन एंडपॉइंट को अनुमति सत्यापनकर्ताओं द्वारा संरक्षित नहीं किया गया है। यह किसी भी प्रमाणित उपयोगकर्ता को, जिसमें प्रयोग पर NO_PERMISSIONS वाले उपयोगकर्ता भी शामिल हैं, उन ट्रैकिंग जानकारी को पढ़ने और उन ट्रैकिंग के लिए मूल्यांकन बनाने की अनुमति देता है जिन तक उन्हें पहुंच नहीं होनी चाहिए। यह भेद्यता ट्रैकिंग मेटाडेटा को उजागर करके गोपनीयता से समझौता करती है और अनधिकृत मूल्यांकन निर्माण की अनुमति देकर अखंडता से समझौता करती है, जिससे गलत निष्कर्ष या डेटा हेरफेर हो सकता है। CVSS गंभीरता 8.1 है, जो उच्च जोखिम का संकेत देता है।
mlflow प्रयोग तक प्रमाणित पहुंच रखने वाला, लेकिन सीमित अनुमतियों (NO_PERMISSIONS) वाला एक हमलावर, इस भेद्यता का फायदा उठाकर गोपनीय ट्रैकिंग जानकारी तक पहुंच सकता है। यह मॉडल प्रशिक्षण प्रक्रिया के बारे में विवरण उजागर कर सकता है, जैसे हाइपरपैरामीटर, मेट्रिक्स और इनपुट डेटा। इसके अलावा, हमलावर ट्रैकिंग के लिए गलत मूल्यांकन बना सकता है, जिससे mlflow परिणामों पर आधारित निर्णयों को प्रभावित किया जा सकता है। बेसिक ऑथेंटिकेशन, हालांकि लागू करने में आसान है, अन्य प्रमाणीकरण विधियों की तुलना में कम सुरक्षित है, खासकर यदि अतिरिक्त एक्सेस नियंत्रण लागू नहीं किए जाते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, इस भेद्यता के लिए mlflow/mlflow में कोई प्रत्यक्ष फिक्स उपलब्ध नहीं है। सबसे प्रभावी शमन उपाय यह है कि जब बिल्कुल आवश्यक न हो तो बेसिक ऑथेंटिकेशन (basic-auth) को अक्षम कर दिया जाए। यदि बेसिक ऑथेंटिकेशन की आवश्यकता है, तो ट्रैकिंग और मूल्यांकन एंडपॉइंट को सुरक्षित करने के लिए एप्लिकेशन स्तर पर कस्टम एक्सेस नियंत्रण को लागू करने की सिफारिश की जाती है। इसमें इन संसाधनों तक पहुंचने की अनुमति देने से पहले उपयोगकर्ता की अनुमति को स्पष्ट रूप से सत्यापित करना शामिल है। mlflow लॉग की सक्रिय रूप से निगरानी करना और ट्रैकिंग और मूल्यांकन एक्सेस से संबंधित संदिग्ध गतिविधि का पता लगाना भी महत्वपूर्ण है। भविष्य के पैच के लिए mlflow/mlflow अपडेट पर ध्यान रखना उचित है।
Actualice la biblioteca mlflow a la última versión disponible. Esto solucionará la vulnerabilidad que permite el acceso no autorizado a los endpoints de tracing y assessment cuando la aplicación `basic-auth` está habilitada.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
mlflow में, ट्रैकिंग एंडपॉइंट आपको प्रयोग के निष्पादन प्रवाह को देखने की अनुमति देते हैं, जबकि मूल्यांकन एंडपॉइंट आपको विभिन्न रन के परिणामों का विश्लेषण और तुलना करने की अनुमति देते हैं।
इसका मतलब है कि उपयोगकर्ता के पास प्रयोग संसाधनों तक पहुंचने के लिए स्पष्ट अनुमति नहीं है।
बेसिक ऑथेंटिकेशन को अक्षम करने का कॉन्फ़िगरेशन इस बात पर निर्भर करता है कि mlflow को कैसे तैनात किया गया है। विशिष्ट निर्देशों के लिए mlflow दस्तावेज़ देखें।
आप अपने एप्लिकेशन में मिडलवेयर या डेकोरेटर का उपयोग करके कस्टम एक्सेस नियंत्रण लागू कर सकते हैं ताकि ट्रैकिंग और मूल्यांकन एंडपॉइंट तक पहुंचने की अनुमति देने से पहले उपयोगकर्ता की अनुमति को सत्यापित किया जा सके।
आप संबंधित CVE प्रविष्टि में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं: CVE-2025-15381।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।