HIGHCVE-2024-1593CVSS 7.5

mlflow に Path Traversal の脆弱性が存在

プラットフォーム

python

コンポーネント

mlflow

修正版

2.9.3

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-1593は、MLflowにおいて発見されたPath Traversalの脆弱性です。この脆弱性は、URLパラメータの処理における不備が原因で、攻撃者が不正なファイルアクセスを試みることを可能にします。影響を受けるバージョンはMLflow 2.9.2以前です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はURLパラメータにパス操作シーケンス（';'文字）を注入することで、MLflowサーバー上のファイルシステムを自由に閲覧できるようになります。これにより、機密情報（APIキー、データベース接続情報、ソースコードなど）が漏洩する可能性があります。さらに、攻撃者はこの脆弱性を利用して、サーバー上で任意のコードを実行し、システムを完全に制御する可能性も否定できません。この攻撃パターンは、過去のパラメータ操作攻撃と類似しており、MLflow環境を適切に保護する必要があります。

悪用の状況

この脆弱性は2024年4月16日に公開されました。現時点では、KEVリストには登録されていません。公開されているPoCは確認されていませんが、パラメータ操作攻撃の一般的な手法と類似しているため、悪用される可能性はあります。NVDおよびCISAの情報を定期的に確認し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations deploying MLflow for machine learning model tracking and management are at risk, particularly those using older versions (≤2.9.2). Shared hosting environments where MLflow is deployed alongside other applications are also at increased risk, as a successful exploit could potentially compromise the entire host.

検出手順翻訳中…

• python / mlflow:

import re

def check_mlflow_params(url):
    match = re.search(r'params=(.*?)(&|$)', url)
    if match:
        params = match.group(1)
        if ';' in params:
            print(f"Potential path traversal detected in params: {params}")

• generic web:

curl -I 'http://your-mlflow-server/some/endpoint?params=;../sensitive/file'

Inspect the response headers and body for any unexpected file disclosures.

攻撃タイムライン

2024-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.31% (54% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmlflow

ベンダーosv

影響範囲修正版

unspecified – latest—

2.9.22.9.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-02-16
公開日2024-04-16
更新日2025-02-04
EPSS 更新日2026-04-02

未パッチ — 公開から768日経過

緩和策と回避策

この脆弱性への対応として、まずMLflowを最新バージョン（2.9.3以降）にアップデートすることを推奨します。アップデートが困難な場合は、入力値の検証を強化し、URLパラメータに不正な文字（';'など）が含まれていないかを確認するWAFやプロキシサーバーのルールを導入することを検討してください。また、MLflowの実行環境を隔離し、アクセス権限を最小限に抑えることで、攻撃の影響範囲を限定することができます。アップデート後、MLflowのログを監視し、不正なファイルアクセス試行がないか確認してください。

修正方法翻訳中…

Actualice la biblioteca mlflow a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal. Consulte las notas de la versión para obtener más detalles sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-1593 — Path Traversal in MLflowとは何ですか？

CVE-2024-1593は、MLflow 2.9.2以前のバージョンにおけるPath Traversalの脆弱性です。URLパラメータの不適切な処理により、攻撃者がファイルシステムへの不正アクセスを試みることが可能になります。

CVE-2024-1593 in MLflowに影響を受けますか？

MLflowのバージョンが2.9.2以前である場合、この脆弱性の影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。

CVE-2024-1593 in MLflowを修正するにはどうすればよいですか？

MLflowを最新バージョン（2.9.3以降）にアップデートしてください。アップデートが困難な場合は、WAFやプロキシサーバーのルールを導入し、入力値の検証を強化してください。

CVE-2024-1593は積極的に悪用されていますか？

現時点では、KEVリストに登録されておらず、公開されているPoCも確認されていませんが、悪用される可能性はあります。最新の脅威動向を常に監視してください。

CVE-2024-1593に関するMLflowの公式アドバイザリはどこで入手できますか？

MLflowの公式アドバイザリは、MLflowのGitHubリポジトリまたは公式ウェブサイトで確認できます。