CVE-2026-0596: Kritieke Command Injection in mlflow (≤latest)
Platform
python
Component
mlflow
CVE-2026-0596 is een Command Injection kwetsbaarheid in mlflow bij het serveren van een model met `enable_mlserver=True`. De `model_uri` wordt direct in een shell commando ingevoegd zonder sanitatie, waardoor command substitutie en uitvoering van kwaadaardige commando's mogelijk is. Deze kwetsbaarheid treft de laatste versie van mlflow en kan leiden tot privilege escalatie. Er is momenteel geen officiële patch beschikbaar.
Hoe te verhelpen
Update de mlflow bibliotheek naar de laatste beschikbare versie. Dit zal de command injection (Command Injection) kwetsbaarheid verhelpen bij het serveren van modellen met `enable_mlserver=True`.
Veelgestelde vragen
Wat is CVE-2026-0596?
CVE-2026-0596 is een Command Injection kwetsbaarheid in mlflow die het mogelijk maakt om willekeurige commando's uit te voeren via een onveilige `model_uri`.
Ben ik getroffen door CVE-2026-0596?
U bent getroffen als u mlflow gebruikt om modellen te serveren met `enable_mlserver=True` en de `model_uri` niet goed sanitiseert. De laatste versie van mlflow is kwetsbaar.
Hoe kan ik CVE-2026-0596 verhelpen?
Er is momenteel geen officiële patch beschikbaar. Vermijd het gebruik van `enable_mlserver=True` of zorg ervoor dat de `model_uri` grondig wordt gevalideerd en gesanitiseerd om shell metacharacters te verwijderen.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen