CVE-2026-2734 in MLflowИнформация

Сводка

по VulDB • 23.05.2026

В версиях mlflow/mlflow до 3.9.0 включительно конечная точка REST API `SearchModelVersions` и запрос GraphQL `mlflowSearchModelVersions` не имеют надлежащих проверок авторизации на уровне модели при включенной базовой аутентификации. Это позволяет любому аутентифицированному пользователю перечислять все версии моделей во всех зарегистрированных моделях, независимо от уровня их разрешений. Проблема возникает из-за отсутствия `SearchModelVersions` в `BEFORE_REQUEST_VALIDATORS` и `AFTER_REQUEST_HANDLERS` для REST API, а также из-за его отсутствия в `GraphQLAuthorizationMiddleware.PROTECTED_FIELDS` для GraphQL. Эта уязвимость может привести к раскрытию конфиденциальной информации, такой как имена моделей, описания версий, URI источников, теги и другие метаданные, что потенциально может раскрыть проприетарные или конфиденциальные данные в многопользовательских средах. Проблема решена в версии 3.10.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

@huntr Ai

Резервировать

19.02.2026

Раскрытие

21.05.2026

Модерация

принято

Вход

VDB-364984

EPSS

0.00023

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2734
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2734
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2734/

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!