MLflow Tracking Server 模型创建目录遍历远程代码执行漏洞

该 RCE 漏洞允许未经身份验证的攻击者在 MLflow Tracking Server 上执行任意代码。攻击者可以通过构造恶意的模型文件路径来利用此漏洞，从而在服务器上执行任意命令。这可能导致数据泄露、系统被完全控制，甚至可能影响到与 MLflow 集成的其他系统。由于该漏洞不需要身份验证，因此攻击面非常广，潜在影响巨大。攻击者可以利用此漏洞窃取敏感数据，例如模型训练数据、实验结果和配置信息。此外，攻击者还可以利用此漏洞进行横向移动，攻击与 MLflow 集成的其他系统。

Organizations heavily reliant on MLflow for model tracking and deployment are particularly at risk. This includes data science teams, machine learning engineers, and companies deploying machine learning models in production environments. Shared hosting environments where multiple users share the same MLflow instance are also at increased risk, as a compromised model could potentially affect other users.

• python / mlflow:

import os
import subprocess

def check_mlflow_version():
    try:
        result = subprocess.run(['mlflow', '--version'], capture_output=True, text=True, check=True)
        version = result.stdout.strip()
        if version <= '3.0.0rc3':
            print(f"MLflow version is vulnerable: {version}")
        else:
            print(f"MLflow version is patched: {version}")
    except FileNotFoundError:
        print("MLflow is not installed.")
    except subprocess.CalledProcessError as e:
        print(f"Error checking MLflow version: {e}")

check_mlflow_version()

• linux / server: journalctl filters for suspicious process executions within the MLflow Tracking Server directory.

journalctl -u mlflow-tracking-server -g 'path=/path/to/mlflow/models/'

1. 2025-10-29Disclosure

   disclosure

2. 2025-10-29Patch

   patch

1. 已保留2025-09-30
2. 发布日期2025-10-29
3. 修改日期2025-12-05
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 MLflow Tracking Server 升级至 v3.0.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制对 MLflow Tracking Server 的访问，仅允许受信任的用户和系统访问。实施严格的文件输入验证，确保用户提供的模型文件路径不包含恶意字符或路径遍历序列。监控 MLflow Tracking Server 的日志，查找可疑活动，例如未经授权的文件访问或命令执行。虽然无法完全阻止攻击，但这些措施可以降低风险。