mlflow/mlflow におけるコマンドインジェクション (Command Injection)

CVE-2025-15379 は、MLflow のモデルサービングコンテナ初期化コードにおける重大なコマンドインジェクション脆弱性です。この脆弱性は、envmanager=LOCAL でモデルをデプロイする場合に発生します。MLflow は、モデルアーティファクトの pythonenv.yaml ファイルから依存関係の仕様を読み取り、サニタイズなしで直接シェルコマンドに挿入します。攻撃者は、悪意のあるモデルアーティファクトを提供することでこれを悪用し、モデルをデプロイするシステムで任意のコマンドを実行できます。CVSS スコアは 10.0 で、非常に高いリスクを示します。3.8.1 より前のバージョンが影響を受けます。根本原因は、python_env.yaml ファイル内の入力検証の欠如であり、コマンドインジェクションを可能にします。

Organizations heavily reliant on MLflow for model deployment, particularly those using the LOCAL environment manager, are at significant risk. This includes data science teams, machine learning engineers, and DevOps professionals responsible for deploying ML models in production environments. Shared hosting environments where multiple users can upload model artifacts are also particularly vulnerable.

• python / mlflow:

import os
import subprocess

def check_python_env_yaml(yaml_file):
    try:
        with open(yaml_file, 'r') as f:
            yaml_content = f.read()
        if '!' in yaml_content:
            print(f"Potential command injection detected in {yaml_file}")
    except FileNotFoundError:
        print(f"File not found: {yaml_file}")

# Example usage
check_python_env_yaml('path/to/python_env.yaml')

• linux / server:

find /opt/mlflow/models -name 'python_env.yaml' -print0 | xargs -0 grep -l '!'

1. 2026-03-30Disclosure

   disclosure

1. 予約済み2025-12-30
2. 公開日2026-03-30
3. 更新日2026-04-01
4. EPSS 更新日2026-04-06

CVE-2025-15379 の主な軽減策は、MLflow バージョン 3.8.1 以降にアップグレードすることです。このバージョンには、pythonenv.yaml ファイルからの入力をサニタイズし、コマンドインジェクションを防ぐ修正が含まれています。追加の予防措置として、可能な場合は envmanager=LOCAL の使用を避け、より安全な環境管理方法を選択してください。envmanager=LOCAL が必要な場合は、シェルコマンドで使用する前に、pythonenv.yaml ファイルで指定された依存関係を厳密に検証およびサニタイズする必要があります。システムログを監視して、潜在的な悪用試行を検出することも重要です。