CVE-2026-2734 in MLflowinformação

Sumário

de VulDB • 23/05/2026

Nas versões do mlflow/mlflow até a 3.9.0, o endpoint da API REST `SearchModelVersions` e a consulta GraphQL `mlflowSearchModelVersions` não possuem verificações adequadas de autorização por modelo quando a autenticação básica está habilitada. Isso permite que qualquer usuário autenticado enumere todas as versões de modelos em todos os modelos registrados, independentemente do seu nível de permissão. O problema ocorre devido à ausência de `SearchModelVersions` nos `BEFORE_REQUEST_VALIDATORS` e `AFTER_REQUEST_HANDLERS` para a API REST, e à sua omissão em `GraphQLAuthorizationMiddleware.PROTECTED_FIELDS` para GraphQL. Essa vulnerabilidade pode expor informações sensíveis, como nomes de modelos, descrições de versão, URIs de origem, tags e outros metadados, potencialmente revelando detalhes proprietários ou confidenciais em ambientes multi-tenant. O problema foi resolvido na versão 3.10.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

@huntr Ai

Reservar

19/02/2026

Divulgação

21/05/2026

Moderação

aceite

Entrada

VDB-364984

CPE

pronto

EPSS

0.00023

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2734
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2734
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2734/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!