CVE-2026-3198 in MLflow情報

要約

〜によって VulDB • 2026年06月02日

MLflow 3.9.0 con autenticazione di base (`--app-name basic-auth`) non riesce a imporre i controlli di autorizzazione per più endpoint 'list' dell'API Gateway. Nello specifico, il dizionario `BEFORE_REQUEST_HANDLERS` in `mlflow/server/auth/__init__.py` non include voci per `ListGatewaySecretInfos`, `ListGatewayEndpoints` e `ListGatewayModelDefinitions`. Ciò consente a qualsiasi utente autenticato, indipendentemente dalle autorizzazioni assegnate, di enumerare tutti i segreti del gateway, gli endpoint e le definizioni dei modelli. Questa vulnerabilità espone informazioni sensibili, quali chiavi API, configurazioni degli endpoint e definizioni di modelli proprietari, a utenti non autorizzati.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

@huntr Ai

予約する

2026年02月25日

公開

2026年06月02日

モデレーション

承諾済み

エントリ

VDB-367794

CPE

準備完了

CWE

CWE-284 (確認済み)

CVSS

6.5 (CNA)

EPSS

0.00025

KEV

いいえ

アクティビティ

低い

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3198
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3198
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3198/

◂ 前概要次 ▸

Do you need the next level of professionalism?

Upgrade your account now!