HIGHCVE-2025-11201CVSS 8.1

MLflow Tracking Server モデル作成ディレクトリトラバーサルによるリモートコード実行脆弱性

プラットフォーム

python

コンポーネント

mlflow

修正版

2.21.4

3.0.0

AI Confidence: highNVDEPSS 9.1%レビュー済み: 2026年5月

NVDで見る

保存

MLflow Tracking Serverには、モデル作成ディレクトリの処理におけるディレクトリトラバーサル脆弱性が存在します。この脆弱性を悪用されると、認証なしでリモートコード実行が可能となり、システムへの深刻な影響が懸念されます。影響を受けるバージョンは3.0.0rc3以前であり、3.0.0へのアップデートでこの問題は解決されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がMLflow Tracking Server上で任意のコードを実行することを可能にします。攻撃者は、認証なしでモデルファイルパスを操作することで、システムファイルへのアクセスや、機密情報の窃取、さらにはシステム全体の制御奪取といった攻撃を実行する可能性があります。特に、MLflow Tracking Serverが重要なデータやモデルを扱う環境では、この脆弱性の悪用による被害は甚大となる可能性があります。類似の脆弱性は、ファイルパスの検証不備から発生するケースで多く見られます。

悪用の状況

この脆弱性は、ZDI-CAN-26921として報告され、2025年10月29日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、リモートコード実行を可能にする重大な脆弱性であるため、早急な対応が必要です。CISA KEVへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations heavily reliant on MLflow for model tracking and deployment are particularly at risk. This includes data science teams, machine learning engineers, and companies deploying machine learning models in production environments. Shared hosting environments where multiple users share the same MLflow instance are also at increased risk, as a compromised model could potentially affect other users.

検出手順翻訳中…

• python / mlflow:

import os
import subprocess

def check_mlflow_version():
    try:
        result = subprocess.run(['mlflow', '--version'], capture_output=True, text=True, check=True)
        version = result.stdout.strip()
        if version <= '3.0.0rc3':
            print(f"MLflow version is vulnerable: {version}")
        else:
            print(f"MLflow version is patched: {version}")
    except FileNotFoundError:
        print("MLflow is not installed.")
    except subprocess.CalledProcessError as e:
        print(f"Error checking MLflow version: {e}")

check_mlflow_version()

• linux / server: journalctl filters for suspicious process executions within the MLflow Tracking Server directory.

journalctl -u mlflow-tracking-server -g 'path=/path/to/mlflow/models/'

攻撃タイムライン

2025-10-29Disclosure
disclosure
2025-10-29Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

9.10% (93% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmlflow

ベンダーosv

影響範囲修正版

2.21.3 – 2.21.32.21.4

3.0.0rc03.0.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-30
公開日2025-10-29
更新日2025-12-05
EPSS 更新日2026-03-23

公開後-140日でパッチ適用

緩和策と回避策

まず、MLflow Tracking Serverを3.0.0以降のバージョンにアップデートすることが最も効果的な対策です。アップデートが困難な場合は、モデルファイルが保存されるディレクトリへのアクセス制限を強化し、攻撃者が不正なパスを操作できないように設定してください。また、WAF（Web Application Firewall）を導入し、ディレクトリトラバーサルの攻撃パターンを検知・遮断することも有効です。さらに、MLflow Tracking Serverのログを監視し、不審なアクセスやファイル操作の兆候を早期に発見することも重要です。アップデート後、モデルの作成と保存が正常に行われていることを確認してください。

修正方法翻訳中…

Actualice MLflow a una versión posterior a la 2.21.3. Esto solucionará la vulnerabilidad de recorrido de directorios y ejecución remota de código. Consulte las notas de la versión para obtener más detalles sobre la actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-11201 — RCE in MLflow Tracking Serverとは何ですか？

CVE-2025-11201は、MLflow Tracking Serverのモデル作成ディレクトリ処理におけるディレクトリトラバーサル脆弱性です。攻撃者は認証なしでリモートコードを実行できる可能性があります。

CVE-2025-11201 in MLflow Tracking Serverの影響はありますか？

はい、3.0.0rc3以前のバージョンを使用している場合、認証なしでリモートコード実行されるリスクがあります。

CVE-2025-11201 in MLflow Tracking Serverを修正するにはどうすればよいですか？

MLflow Tracking Serverを3.0.0以降のバージョンにアップデートしてください。

CVE-2025-11201は積極的に悪用されていますか？

現時点では、具体的な悪用事例は確認されていませんが、早急な対応が必要です。

CVE-2025-11201に関するMLflowの公式アドバイザリはどこで入手できますか？

MLflowの公式アドバイザリは、MLflowのリリースノートやセキュリティ情報ページで確認できます。