MLflow 在 mlflow/sagemaker/__init__.py 中存在命令注入漏洞

该命令注入漏洞允许攻击者在 MLflow 环境中执行任意代码。攻击者可以通过 --container 参数提供包含恶意命令的容器镜像名称，这些命令将在 MLflow 执行过程中被执行。这可能导致攻击者完全控制受影响的系统，窃取敏感数据，安装恶意软件，或进行横向移动攻击。例如，攻击者可以利用此漏洞读取系统文件、修改配置，甚至在受影响的服务器上建立持久性后门。由于 MLflow 经常用于机器学习模型的部署和管理，因此该漏洞可能对整个机器学习流程造成严重影响，并可能导致数据泄露和业务中断。

Organizations heavily reliant on MLflow for machine learning model management, particularly those using it in CI/CD pipelines or cloud deployments, are at significant risk. Shared hosting environments where multiple users have access to the MLflow CLI are also vulnerable, as an attacker could potentially exploit the vulnerability on behalf of another user.

• python / mlflow:

import subprocess
import os

def check_mlflow_version():
    try:
        result = subprocess.check_output(['mlflow', '--version'], stderr=subprocess.STDOUT)
        version = result.decode('utf-8').strip()
        if version <= '3.7.0rc0':
            print(f"MLflow version is vulnerable: {version}")
        else:
            print(f"MLflow version is not vulnerable: {version}")
    except FileNotFoundError:
        print("MLflow is not installed.")
check_mlflow_version()

• generic web: Check for suspicious container image names being passed to MLflow CLI via command-line arguments or environment variables. Monitor access logs for unusual activity related to MLflow.

1. 2026-03-16Disclosure

   disclosure

1. 已保留2025-12-08
2. 发布日期2026-03-16
3. 修改日期2026-03-17
4. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-14287 的影响，首要措施是立即升级到 MLflow v3.8.0rc0 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格控制 --container 参数的输入，只允许来自可信来源的容器镜像名称。实施输入验证和清理机制，以防止恶意命令注入。在 MLflow 运行环境中启用安全审计日志记录，以便检测和响应潜在的攻击活动。此外，可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，并限制对 MLflow API 的访问。升级后，请验证 MLflow 版本是否已成功更新，并检查系统日志中是否存在异常活动。