mlflow vulnerável a Path Traversal

Um atacante explorando esta vulnerabilidade pode obter acesso não autorizado para excluir arquivos e diretórios críticos no servidor MLflow. A exploração bem-sucedida pode levar à perda de dados, interrupção do serviço e, em cenários mais graves, permitir a execução de código malicioso se o atacante conseguir substituir arquivos importantes por versões comprometidas. A falta de validação adequada do caminho de arquivo permite que um atacante manipule a entrada para acessar e modificar arquivos fora do diretório pretendido, representando um risco significativo para a segurança do ambiente MLflow. A vulnerabilidade se assemelha a cenários clássicos de Path Traversal, onde a falta de sanitização de entrada permite o acesso a recursos não autorizados.

Organizations heavily reliant on MLflow for model tracking, deployment, and management are at significant risk. Specifically, environments with shared MLflow instances or those lacking robust access controls are particularly vulnerable. Users who have write access to the MLflow artifact store are potential threat actors.

• python / server:

import os
import subprocess

def check_mlflow_vulnerability():
    try:
        result = subprocess.run(['mlflow', 'artifacts', 'list'], capture_output=True, text=True, check=True)
        if '2.9.2' in result.stdout:
            print("MLflow version is vulnerable.")
        else:
            print("MLflow version is likely patched.")
    except FileNotFoundError:
        print("MLflow not found.")
check_mlflow_vulnerability()

• linux / server:

journalctl -u mlflow -g 'artifact deletion' | grep -i error

• generic web: Use curl to test artifact deletion endpoints with path traversal payloads (e.g., curl 'http://mlflow-server/artifacts/../sensitive_file') and observe the response.

1. 2024-04-16Disclosure

   disclosure

1. Reservado2024-02-15
2. Publicada2024-04-16
3. Modificada2025-02-04
4. EPSS atualizado2026-04-02

A mitigação primária para esta vulnerabilidade é atualizar o MLflow para uma versão corrigida. A versão corrigida aborda a falha de decodificação dupla que permite a exploração do Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao servidor MLflow apenas a usuários autorizados e monitorar logs de sistema em busca de atividades suspeitas. Implementar regras de firewall para limitar o acesso à API de exclusão de artefatos pode ajudar a reduzir a superfície de ataque. Após a atualização, confirme a correção verificando se a função de exclusão de artefatos agora valida corretamente os caminhos de arquivo.