Penjelasan teknis
MLflow versi 3.9.0 memperkenalkan kerentanan permintaan lintas-asal dalam fitur MLflow Assistant di endpoint /ajax-api. Validasi asal yang tidak tepat memungkinkan penyerang jarak jauh untuk mengeksploitasi permintaan lintas-asal dari halaman web berbahaya agar dapat berinteraksi dengan MLflow Assistant yang berjalan di mesin lokal korban. Eksploitasi yang berhasil memberikan penyerang kemampuan untuk menjalankan perintah arbitrer, mengakses file lokal, dan memanipulasi proyek MLflow melalui sesi yang terautentikasi dari korban.
Vektor serangan
Penyerang menyelenggarakan halaman web berbahaya yang berisi JavaScript yang mengirimkan permintaan yang dirancang ke http://localhost:5000/ajax-api (port UI MLflow default). Ketika korban dengan MLflow Assistant yang berjalan mengunjungi halaman penyerang, browser menjalankan permintaan lintas-asal yang diterima server MLflow karena tidak adanya pemeriksaan asal. Penyerang kemudian dapat memanggil perintah Assistant, menjalankan sel kode, menanyakan metadata model, dan mengakses file yang dapat diakses oleh proses MLflow.
Sistem yang terdampak
Instalasi MLflow 3.9.0 dengan fitur MLflow Assistant diaktifkan. Kerentanan ini mempengaruhi ilmuwan data dan insinyur ML yang menjalankan MLflow secara lokal selama pengembangan model, khususnya mereka yang menggunakan antarmuka obrolan AI Assistant untuk pembuatan kode dan manajemen eksperimen.
Mitigasi
MLflow belum merilis versi yang diperbaiki; CVE-2026-2611 diungkapkan di NVD pada 19 Mei 2026, tanpa perbaikan yang menyertainya. Mitigasi sementara: (1) nonaktifkan fitur MLflow Assistant jika tidak diperlukan; (2) batasi akses UI MLflow hanya ke localhost melalui aturan firewall; (3) gunakan browser dengan penegakan CORS yang ketat; (4) hindari menjelajahi situs web yang tidak dipercaya saat MLflow Assistant sedang berjalan. Pantau repositori GitHub MLflow untuk pemberitahuan keamanan dan tingkatkan segera setelah patch tersedia.