CVE-2026-2393 in MLflowinfo

Zusammenfassung

von VulDB • 11.05.2026

In MLflow-Versionen vor 3.9.0 besteht eine Server-Side Request Forgery (SSRF)-Schwachstelle. Die Funktion `_create_webhook()` in `mlflow/server/handlers.py` akzeptiert einen benutzerkontrollierten `url`-Parameter ohne Validierung, und die Funktion `_send_webhook_request()` in `mlflow/webhooks/delivery.py` sendet HTTP-POST-Anfragen an diese vom Angreifer kontrollierte URL. Dies ermöglicht es einem authentifizierten Angreifer, das MLflow-Backend dazu zu zwingen, HTTP-Anfragen an interne Dienste, Cloud-Metadaten-Endpunkte oder beliebige externe Server zu senden. Das Fehlen von Eingabebereinigung, URL-Schema-Filterung oder Allowlist-Validierung für die Webhook-URL ermöglicht die Ausnutzung, was potenziell zum Diebstahl von Cloud-Anmeldeinformationen, zum Zugriff auf das interne Netzwerk und zur Datenexfiltration führen kann.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

@huntr Ai

Reservieren

12.02.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362720

CPE

bereit

EPSS

0.00034

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2393
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2393
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2393/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!