技術的な説明
MLflowバージョン3.9.0では、MLflow Assistantフィーチャーの/ajax-apiエンドポイントにおいてクロスオリジンリクエスト脆弱性が導入されました。不十分なオリジン検証により、リモート攻撃者は悪意あるWebページからのクロスオリジンリクエストを悪用して、被害者のローカルマシン上で実行されているMLflow Assistantと対話することができます。悪用に成功した場合、攻撃者は任意のコマンドを実行し、ローカルファイルにアクセスし、被害者の認証済みセッションを通じてMLflowプロジェクトを操作する能力を獲得します。
攻撃経路
攻撃者は、http://localhost:5000/ajax-api(デフォルトのMLflow UIポート)に細工されたリクエストを送信するJavaScriptを含む悪意あるWebページをホストします。MLflow Assistantが実行されている被害者が攻撃者のページを訪問すると、ブラウザはオリジンチェックが欠落しているため、MLflowサーバーが受け入れるクロスオリジンリクエストを実行します。その後、攻撃者はAssistantコマンドを呼び出し、コードセルを実行し、モデルメタデータをクエリし、MLflowプロセスがアクセス可能なファイルにアクセスすることができます。
影響を受けるシステム
MLflow Assistant機能が有効になっているMLflow 3.9.0インストール。この脆弱性は、モデル開発中にMLflowをローカルで実行しているデータサイエンティストとML エンジニア、特にコード生成と実験管理のためにAssistantのAIチャットインターフェースを使用している者に影響します。
緩和策
MLflowはまだパッチ版をリリースしていません。CVE-2026-2611はNVDで2026年5月19日に開示されましたが、対応する修正がありません。暫定的な緩和策:(1) MLflow Assistantフィーチャーが不要な場合は無効にする、(2) ファイアウォールルールを介してMLflow UIへのアクセスをlocalhostのみに制限する、(3) 厳密なCORS施行を備えたブラウザを使用する、(4) MLflow Assistantが実行されている間に信頼できないWebサイトの閲覧を避ける。MLflow GitHubリポジトリでセキュリティアドバイザリーを監視し、パッチが利用可能になったら直ちにアップグレードしてください。