mlflow に Path Traversal の脆弱性が存在

この脆弱性は、攻撃者がsourceパラメータを巧妙に操作することで、mlflowサーバー上の任意のファイルにアクセスすることを可能にします。これにより、モデルのアーティファクト、設定ファイル、さらには機密データを含む可能性のあるファイルが漏洩するリスクがあります。攻撃者は、このアクセス権を悪用して、システムへのさらなる侵入を試みたり、データを改ざんしたりする可能性があります。特に、モデルのトレーニングに使用された機密データが漏洩した場合、深刻なプライバシー侵害につながる可能性があります。類似の脆弱性は、ファイルシステムへのアクセス制御の不備から発生することが多く、適切な入力検証の欠如が原因となります。

Organizations deploying MLflow for machine learning model management, particularly those using older versions (≤2.9.2), are at risk. Shared hosting environments where multiple users share the same MLflow instance are especially vulnerable, as an attacker could potentially access data belonging to other users. Environments with weak access controls to the MLflow tracking server are also at increased risk.

• python / mlflow:

import os
import mlflow

# Attempt to read a file outside the intended directory
try:
    mlflow.tracking.MlflowClient().create_model_version('model', '1', source='../../../../../../etc/passwd')
    print('Potential vulnerability detected!')
except Exception as e:
    print(f'Error: {e}')

• generic web: Check MLflow server logs for requests containing path traversal sequences (e.g., '../'). • generic web: Monitor network traffic to the MLflow server for suspicious requests targeting the /tracking/model-versions endpoint.

1. 2024-04-16Disclosure

   disclosure

1. 予約済み2024-02-15
2. 公開日2024-04-16
3. 更新日2025-02-04
4. EPSS 更新日2026-04-02

まず、mlflowをバージョン2.12.1以上にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、WAF（Web Application Firewall）を導入し、sourceパラメータに対する不正なファイルパスのアクセスをブロックするルールを設定することを検討してください。また、mlflowサーバーのファイルシステムへのアクセス権を最小限に制限し、不要なファイルへのアクセスを防止することも重要です。さらに、ログ監視を強化し、異常なファイルアクセス試行を検知するためのアラートを設定してください。