Penjelasan teknis
Versi MLflow sebelum 3.11.0 menyelesaikan referensi variabel lingkungan (misalnya $AWS_ACCESS_KEY_ID) yang tertanam dalam bidang api_key dari rahasia AI Gateway terhadap lingkungan langsung server dan kemudian meneruskan nilai yang diselesaikan dalam header autentikasi penyedia ke URL api_base yang dikonfigurasi. Seorang penyerang yang dapat menulis rahasia gateway — pengguna terautentikasi dengan privilege rendah dalam deployment basic-auth, atau pengguna apa pun yang tidak terautentikasi dalam deployment default — dapat mengatur api_base ke endpoint yang dikontrol penyerang dan mengekfiltrasikan kredensial lingkungan sisi server, termasuk kunci akses AWS dan rahasia yang digunakan untuk penyimpanan artefak model, memungkinkan peracunan artefak dan eksekusi kode lintas batas di lingkungan hilir.
Vektor serangan
Penulisan rahasia gateway yang tidak terautentikasi (deployment default) atau terautentikasi privilege rendah (deployment basic-auth) dengan URL api_base yang dikontrol penyerang dan referensi env-var dalam bidang api_key. AI Gateway MLflow kemudian meneruskan nilai kredensial yang diselesaikan pada panggilan penyedia berikutnya.
Sistem yang terdampak
MLflow AI Gateway, semua versi sebelum 3.11.0. Risiko sangat tinggi dalam deployment yang di-host sendiri tanpa basic-auth, yang merupakan konfigurasi default.
Mitigasi
Upgrade ke MLflow 3.11.0 segera (commit patch 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3). Jika upgrade segera tidak memungkinkan, batasi akses penulisan gateway-secret hanya untuk administrator terpercaya dan audit rahasia gateway yang ada untuk referensi env-var yang menunjuk ke URL api_base yang dapat dijangkau penyerang. Rotasikan kredensial cloud apa pun yang berpotensi terekspos.