UNKNOWNCVE-2026-0596
CVE-2026-0596:mlflow 命令注入漏洞(严重)
平台
python
组件
mlflow
CVE-2026-0596是mlflow中发现的命令注入漏洞,当使用`enable_mlserver=True`服务模型时,`model_uri`被直接嵌入到shell命令中,未经充分的清理。如果`model_uri`包含shell元字符,则允许命令替换和执行攻击者控制的命令。此漏洞影响最新版本的mlflow/mlflow。目前没有可用的官方补丁。
修复方法
将 mlflow 库更新到最新可用版本。这将修复使用 `enable_mlserver=True` 提供模型服务时的命令注入 (Command Injection) 漏洞。
常见问题
CVE-2026-0596是什么?
CVE-2026-0596是mlflow中当`enable_mlserver=True`时存在的一个命令注入漏洞,允许攻击者执行任意命令。
我是否受到CVE-2026-0596的影响?
如果您正在使用mlflow,并且使用`enable_mlserver=True`服务模型,那么您可能受到此漏洞的影响。
如何修复CVE-2026-0596?
目前没有可用的官方补丁。建议您监控mlflow的更新,并采取其他安全措施,例如验证`model_uri`,以减轻风险。