CVE-2026-0596 CVSS 7.8 高危

CVE-2026-0596 MLflow命令注入漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0596

漏洞类型

命令注入

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MLflow

漏洞概述

MLflow在启用enable_mlserver=True服务模型时存在命令注入漏洞。由于model_uri未经过滤直接嵌入bash -c执行的shell命令中，攻击者可利用shell元字符执行任意命令，导致权限提升。

技术细节

该漏洞源于MLflow在处理模型服务请求时，对model_uri参数缺乏严格的输入验证。当调用bash -c启动服务时，直接将受控的model_uri拼接到命令字符串中。攻击者通过在路径构造中注入如`;`、`|`、`$()`等元字符，可破坏原有命令结构。例如，将URI设为包含`$(whoami)`的字符串，服务器在执行时会解析命令替换，从而以MLflow服务进程的权限执行攻击者指定的系统命令。这通常导致本地权限提升，特别是在高权限服务从低权限用户可写目录加载模型时。

攻击链分析

STEP 1

侦察

识别目标运行MLflow服务，并确认开启了enable_mlserver=True选项。

STEP 2

访问与定位

找到可写入的模型存储目录，或获取控制model_uri参数的能力。

STEP 3

漏洞利用

构造包含shell元字符（如`$(cmd)`或反引号）的恶意model_uri值。

STEP 4

命令执行

触发MLflow加载模型，后端执行bash -c命令，解析并运行注入的攻击载荷。

STEP 5

权限提升

利用服务进程的权限执行系统命令，可能获得比当前用户更高的权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-0596 MLflow Command Injection
# Demonstrates the vulnerability via malicious model_uri

import os

# Simulating a malicious model_uri containing command injection
# The payload uses $() to execute arbitrary commands
malicious_uri = "s3://bucket/$(whoami)"

# In the vulnerable code flow, the command is constructed like this:
# cmd = f"bash -c 'mlflow serve ... --model-uri {malicious_uri}'"

# If the application executes this, the shell runs 'whoami'
print(f"[+] Injecting payload via model_uri: {malicious_uri}")
print("[+] If vulnerable, the system will execute the 'whoami' command.")

影响范围

MLflow (Latest version at time of disclosure)

防御指南

临时缓解措施

建议暂时禁用enable_mlserver=True功能，直到应用补丁。同时，应确保MLflow服务不以Root或高权限用户运行，并严格隔离不同用户提交的模型存储路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表