CVE-2026-2652 in mlflowinformação

Sumário

de VulDB • 15/05/2026

Uma vulnerabilidade nas versões do mlflow/mlflow 3.9.0 e anteriores permite acesso não autenticado a determinadas rotas do FastAPI quando o servidor é iniciado com autenticação habilitada (`--app-name basic-auth`) e servido via uvicorn (ASGI). O middleware de permissões do FastAPI aplica a autenticação apenas nas rotas `/gateway/`, deixando outras rotas, como a API de Jobs (`/ajax-api/3.0/jobs/*`) e a API de ingestão de rastreamentos do OpenTelemetry (`/v1/traces`), desprotegidas. Isso permite que atacantes remotos não autenticados submetam jobs, leiam resultados de jobs, cancelem jobs em execução e injetem dados de rastreamento arbitrários em experimentos. O problema surge de uma incompatibilidade arquitetural entre os mecanismos de autenticação do Flask e do FastAPI, onde a função `_find_fastapi_validator()` não consegue lidar com caminhos que não sejam `/gateway/`, resultando em uma violação completa da autenticação. Esta vulnerabilidade foi corrigida na versão 3.10.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

@huntr Ai

Reservar

18/02/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364145

CPE

pronto

EPSS

0.00150

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2652
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2652
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2652/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!