CVE-2026-2652 in mlflowinformación

Resumen

por VulDB • 2026-05-15

Una vulnerabilidad en las versiones de mlflow/mlflow 3.9.0 y anteriores permite el acceso no autenticado a ciertas rutas de FastAPI cuando el servidor se inicia con la autenticación habilitada (`--app-name basic-auth`) y se sirve a través de uvicorn (ASGI). El middleware de permisos de FastAPI solo aplica la autenticación en las rutas `/gateway/`, dejando otras rutas, como la API de trabajos (`/ajax-api/3.0/jobs/*`) y la API de ingestión de trazas de OpenTelemetry (`/v1/traces`), sin protección. Esto permite que atacantes remotos no autenticados envíen trabajos, lean los resultados de los trabajos, cancelen trabajos en ejecución e inyecten datos de trazas arbitrarios en los experimentos. El problema surge de una incompatibilidad arquitectónica entre los mecanismos de autenticación de Flask y FastAPI, donde la función `_find_fastapi_validator()` no gestiona correctamente las rutas que no son `/gateway/`, lo que resulta en una elusión completa de la autenticación. Esta vulnerabilidad se corrige en la versión 3.10.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

@huntr Ai

Reservar

2026-02-18

Divulgación

2026-05-15

Moderación

aceptado

Artículo

VDB-364145

CPE

listo

EPSS

0.00150

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2652
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2652
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2652/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!