mlflow/mlflow における重要な機能に対する認証の欠落

mlflow/mlflow では、`basic-auth` アプリが有効になっている場合、`/ajax-api/3.0/jobs/*` 配下の FastAPI ジョブ (endpoint) が認証または認可によって保護されていません。この脆弱性は、リポジトリの最新バージョンに影響します。ジョブの実行が有効 (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true`) であり、ジョブ関数が許可リストに登録されている場合、ネットワーククライアントは、認証情報なしでジョブの送信、読み取り、検索、およびキャンセルを行うことができ、basic-auth を完全にバイパスします。許可されたジョブがシェル実行やファイルシステムの変更などの特権アクションを実行する場合、認証されていないリモートコード実行につながる可能性があります。ジョブが安全と見なされる場合でも、これは認証バイパスを構成し、ジョブスパム、サービス拒否 (DoS)、またはジョブ結果におけるデータ漏洩を引き起こす可能性があります。