mlflow: `/ajax-api/3.0/jobs/*` 以下の FastAPI ジョブエンドポイントは、認証または認可によって保護されていません

この脆弱性は、mlflowのジョブ実行機能が有効になっている場合に、ネットワーク上の任意のクライアントが認証なしでジョブを送信、読み取り、検索、キャンセルできることを意味します。特に、MLFLOWSERVERENABLEJOBEXECUTION=trueが設定されており、許可リストに登録されたジョブ関数が、シェル実行やファイルシステム変更などの特権アクションを実行する場合、攻撃者はリモートコードを実行する可能性があります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御へのつながる可能性があります。類似の脆弱性は、認証バイパスによる権限昇格攻撃に繋がる可能性があります。

Organizations deploying MLflow in production environments, particularly those with job execution enabled and exposed to external networks, are at significant risk. Shared hosting environments where multiple users share the same MLflow instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment.

• python / server:

import requests
import json

url = 'http://your-mlflow-server/ajax-api/3.0/jobs/'

try:
    response = requests.get(url, timeout=5)
    response.raise_for_status()
    if response.status_code == 200:
        print('Potential vulnerability: Unauthenticated access to job endpoints.')
    else:
        print('Endpoint access restricted (expected).')
except requests.exceptions.RequestException as e:
    print(f'Error connecting to endpoint: {e}')

• linux / server:

journalctl -u mlflow -f | grep -i "unauthorized access"

• generic web:

curl -I http://your-mlflow-server/ajax-api/3.0/jobs/ | grep -i 'HTTP/1.1 200 OK'

1. 2026-04-03Disclosure

   disclosure

1. 予約済み2026-01-01
2. 公開日2026-04-03
3. 更新日2026-04-08
4. EPSS 更新日2026-04-11

この脆弱性への対応として、まずmlflowを最新バージョン（3.10.2以降）にアップグレードすることを強く推奨します。アップグレードが困難な場合は、MLFLOWSERVERENABLEJOBEXECUTION=falseを設定してジョブ実行機能を無効化することを検討してください。また、WAF（Web Application Firewall）を導入し、/ajax-api/3.0/jobs/*エンドポイントへの不正なアクセスを検知・遮断するルールを設定することも有効です。さらに、ジョブの実行権限を厳格に制限し、最小限の権限でジョブを実行するように設定してください。