mlflow/mlflow 中关键功能的身份验证缺失

在 mlflow/mlflow 中，当启用 `basic-auth` 应用时，`/ajax-api/3.0/jobs/*` 下的 FastAPI 作业端点不受身份验证或授权保护。此漏洞影响存储库的最新版本。如果启用了作业执行 (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true`) 并且任何作业函数被列入白名单，则任何网络客户端都可以在没有凭据的情况下提交、读取、搜索和取消作业，从而完全绕过 basic-auth。如果允许的作业执行特权操作（例如 shell 执行或文件系统更改），这可能导致未经身份验证的远程代码执行 (Remote Code Execution)。即使作业被认为是安全的，这仍然构成身份验证绕过，可能导致作业垃圾邮件、拒绝服务 (DoS) 或作业结果中的数据泄露。