CVE-2026-2734 in MLflowالمعلومات

الملخص

بحسب VulDB • 21/05/2026

في إصدارات mlflow/mlflow حتى الإصدار 3.9.0، تفتقر نقطة نهاية واجهة برمجة التطبيقات REST `SearchModelVersions` واستعلام GraphQL `mlflowSearchModelVersions` إلى فحوصات تفويض دقيقة لكل نموذج عند تمكين المصادقة الأساسية. يسمح هذا لأي مستخدم مُصادق عليه بتعداد جميع إصدارات النماذج عبر جميع النماذج المسجلة، بغض النظر عن مستوى صلاحياته. ينشأ هذا الخطأ بسبب عدم وجود `SearchModelVersions` في `BEFORE_REQUEST_VALIDATORS` و `AFTER_REQUEST_HANDLERS` لواجهة برمجة التطبيقات REST، وإغفاله من `GraphQLAuthorizationMiddleware.PROTECTED_FIELDS` لـ GraphQL. يمكن أن يؤدي هذا الضعف إلى كشف معلومات حساسة مثل أسماء النماذج، ووصف الإصدارات، وروابط المصدر (URIs)، والوسوم، وغيرها من البيانات الوصفية، مما قد يكشف عن تفاصيل ملكية أو سرية في البيئات متعددة المستأجرين (multi-tenant). تم حل هذه المشكلة في الإصدار 3.10.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

@huntr Ai

حجز

19/02/2026

إفشاء

21/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364984

CPE

جاهز

CWE

CWE-284 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00023

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2734
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2734
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2734/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!