MLflow 安全漏洞
摘要
MLflow 安全漏洞
正文
漏洞基本信息 漏洞名称 MLflow 安全漏洞 厂商 Mmemed CNNVD编号 CNNVD-202606-579 危害等级 —— CVE编号 CVE-2026-3198 漏洞类型 其他 收录时间 2026-06-02 更新时间 2026-06-03 漏洞简介 MLflow是MLflow开源的一个简化机器学习开发的平台,包括跟踪实验、将代码打包成可重复的运行以及共享和部署模型。 MLflow 3.9.0版本存在安全漏洞,该漏洞源于基本身份验证模式下未对多个Gateway API列表端点强制执行授权检查,可能导致任何经过身份验证的用户枚举所有网关密钥、端点和模型定义,泄露API密钥、端点配置和专有模型定义等敏感信息。 参考网址 来源:huntr.com 链接: https://huntr.com/bounties/e57db731-97d3-40c3-a429-831ee959807f 官方补丁 暂无
标签
- cnnvd
- cnnvd:CNNVD-202606-579
- cve:CVE-2026-3198
- severity:low
- vul_type:0
扩展字段
{
"affected_vendor": "Mmemed",
"cnnvd_code": "CNNVD-202606-579",
"create_time": "2026-06-03",
"cve_code": "CVE-2026-3198",
"detailed_publish_time": "2026-06-02 00:00:00",
"detailed_update_time": "2026-06-03 00:00:00",
"hazard_level": 0,
"is_official": 1,
"publish_time": "2026-06-02",
"refer_url": "来源:huntr.com\r\n链接:https://huntr.com/bounties/e57db731-97d3-40c3-a429-831ee959807f",
"update_time": "2026-06-03",
"vendor": "1009097",
"vul_desc": "MLflow是MLflow开源的一个简化机器学习开发的平台,包括跟踪实验、将代码打包成可重复的运行以及共享和部署模型。\r\nMLflow 3.9.0版本存在安全漏洞,该漏洞源于基本身份验证模式下未对多个Gateway API列表端点强制执行授权检查,可能导致任何经过身份验证的用户枚举所有网关密钥、端点和模型定义,泄露API密钥、端点配置和专有模型定义等敏感信息。",
"vul_type": "0",
"vul_type_name": "其他"
}