mlflow/mlflowにおけるトレースおよび評価エンドポイントへの不正アクセス

mlflow/mlflowの最新バージョンにおいて、`basic-auth`アプリが有効になっている場合、トレースおよび評価エンドポイントは権限バリデーターによって保護されていません。これにより、実験に対する`NO_PERMISSIONS`を持つユーザーを含む、認証されたすべてのユーザーが、アクセス権限のないトレースのトレース情報を読み取り、評価を作成することができます。この脆弱性は、トレースメタデータを公開することにより機密性に影響を与え、不正な評価の作成を許可することにより完全性に影響を与えます。`mlflow server --app-name=basic-auth`を使用するデプロイメントが影響を受けます。