mlflow 中 tar 遍历的任意文件写入漏洞

该漏洞的影响非常严重，攻击者可以利用它来覆盖 MLflow 运行环境中的任意文件。这可能导致数据泄露、系统配置被篡改，甚至远程代码执行。在多租户环境中，攻击者可以利用此漏洞影响其他租户，造成更广泛的损害。例如，攻击者可以覆盖关键配置文件，导致 MLflow 服务崩溃，或者覆盖模型文件，导致模型预测结果错误。由于 MLflow 经常用于机器学习模型的部署和管理，因此该漏洞可能对整个机器学习流程造成严重威胁。

Organizations utilizing MLflow in multi-tenant environments or those that ingest machine learning artifacts from untrusted sources are at the highest risk. Specifically, teams relying on automated artifact pipelines without robust validation procedures are particularly vulnerable. Users who have not upgraded to MLflow 3.9.0rc0 or later are also at risk.

• python / mlflow: Inspect MLflow's pyfunc extraction code for missing path validation.

import tarfile

tar = tarfile.open('malicious.tar.gz', 'r:gz')
for member in tar.getmembers():
    member.name = os.path.join('safe_extraction_dir', member.name) # Add path validation here
tar.extractall('extraction_dir')
tar.close()

• linux / server: Monitor file system activity for unexpected writes in MLflow's extraction directories using auditd.

ausearch -m always -f /path/to/mlflow/extraction_dir

• generic web: Monitor access logs for requests containing tar.gz archives with suspicious filenames or paths.

1. 2026-03-19Disclosure

   disclosure

1. 已保留2025-12-22
2. 发布日期2026-03-19
3. 修改日期2026-03-24
4. EPSS 更新日期2026-03-26

为了缓解 CVE-2025-15031 漏洞，首要措施是立即升级到 MLflow 3.9.0rc0 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：严格控制上传到 MLflow 的 tar.gz 文件的来源，只允许来自可信来源的 artifact。实施文件访问控制，限制 MLflow 进程对文件系统的写入权限。监控 MLflow 日志，查找异常的文件写入活动。使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止包含恶意路径的 tar.gz 文件上传。升级后，验证文件提取功能是否正常工作，确认漏洞已成功修复。