MEDIUMCVE-2026-33865

MLflow 中不安全 YAML 解析导致的存储型 XSS

平台

python

组件

mlflow

修复版本

3.11.0

3.11.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

MLflow 的 Web 界面存在存储型跨站脚本攻击 (XSS) 漏洞，源于对 YAML 格式的 MLmodel 文件的解析不安全。攻击者可以通过上传包含恶意有效载荷的 MLmodel 文件来利用此漏洞，当其他用户在 UI 中查看该文件时，有效载荷会被执行，从而可能导致会话劫持或其他恶意操作。此漏洞影响 MLflow 的 0.0.0 到 3.10.1 版本，已在 3.11.0 版本中修复。

影响与攻击场景

CVE-2026-33865 影响 MLflow，使⽤户面临跨站脚本 (XSS) 存储型漏洞的风险。该漏洞在于 MLflow 在其 Web 界面中处理 YAML 格式的 MLmodel 工件的方式。经过身份验证的攻击者可以上传包含 XSS 负载的恶意 MLmodel 文件。当其他⽤户在 UI 中查看此⼯件时，负载将执⾏，从而可能允许攻击者窃取会话、代表受害者执⾏操作，甚⾄破坏系统安全。在多个⽤户访问和共享 MLflow 模型的环境中，此漏洞尤其令人担忧。

利用背景

利用此漏洞需要攻击者在 MLflow 系统中经过身份验证。攻击者必须能够上传 MLmodel 文件。XSS 负载嵌入在⼯件的 YAML 文件中。当非恶意⽤户通过 MLflow Web 界面访问⼯件时，负载将在⽤户的浏览器上下文中执⾏，允许攻击者执⾏恶意操作。漏洞的严重程度取决于攻击者的访问级别以及他们代表受害者可以执⾏的操作。

哪些人处于风险中翻译中…

Organizations using MLflow for machine learning model management, particularly those relying on the web interface for artifact viewing and collaboration, are at risk. Teams using older, unpatched versions of MLflow (0.0.0 - 3.10.1) are especially vulnerable. Shared MLflow instances or deployments where multiple users can upload and view artifacts increase the potential attack surface.

检测步骤翻译中…

• python / mlflow: Inspect MLmodel artifact YAML files for suspicious JavaScript code.

import yaml

def check_yaml(file_path):
    try:
        with open(file_path, 'r') as f:
            data = yaml.safe_load(f)
            # Add logic to check for suspicious javascript code
    except yaml.YAMLError as e:
        print(f"Error parsing YAML: {e}")

• generic web: Monitor MLflow web interface logs for unusual JavaScript execution patterns or error messages related to YAML parsing. • generic web: Check for unexpected changes in user behavior or access patterns that could indicate session hijacking.

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件mlflow

供应商Mlflow

影响范围修复版本

0.0.0 – 3.10.13.11.0

—3.11.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-24
发布日期2026-04-07
修改日期2026-04-14
EPSS 更新日期2026-04-15

披露后0天发布补丁

缓解措施和替代方案

减轻 CVE-2026-33865 的解决方案是升级到 MLflow 3.11.0 或更高版本。此版本包含修复程序，解决了 YAML 文件的处理不安全问题，从而防止 XSS 负载的执⾏。在此期间，建议限制对 MLmodel 工件上传功能访问，仅限于可信⽤户。在 MLflow Web 界面中实施内容安全策略 (CSP) 可以提供额外的保护层，但并非完整的解决方案。升级后，必须进行彻底的测试，以确保修复程序已正确应用，并且没有引入新的问题。

修复方法翻译中…

Actualice MLflow a la versión 3.11.0 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que se analizan los artefactos MLmodel basados en YAML, evitando la ejecución de scripts maliciosos en la interfaz web.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33865 是什么 — MLflow 中的 Cross-Site Scripting (XSS)？

存储型 (或持久型) XSS 发生在攻击者将恶意代码注入到网站中，然后该代码在其他⽤户的浏览器中执⾏时。在本例中，代码存储在服务器上 (在 MLmodel 工件中)，并且每当⽤户查看⼯件时都会执⾏。

MLflow 中的 CVE-2026-33865 是否会影响我？

如果您正在使⽤ MLflow 3.11.0 之前的版本，则很可能受到影响。请查阅 MLflow 文档以获取有关如何检查您版本的更多信息。

如何修复 MLflow 中的 CVE-2026-33865？

如果您怀疑自己受到攻击，请立即更改密码并检查系统日志以查找可疑活动。如有需要，请咨询安全专业人员。

CVE-2026-33865 是否正在被积极利用？

如果您无法立即升级，请考虑限制对 MLmodel 工件上传功能访问，仅限于可信⽤户，并实施内容安全策略 (CSP)。

在哪里可以找到 MLflow 关于 CVE-2026-33865 的官方安全通告？

XSS 负载可能各不相同，但通常包括窃取会话 Cookie、将⽤户重定向到恶意网站或在 Web 页面中注入恶意内容等脚本。