기술 설명
MLflow 버전 3.9.0은 MLflow Assistant 기능의 /ajax-api 엔드포인트에 교차 출처 요청 취약점을 도입했습니다. 부적절한 출처 검증으로 인해 원격 공격자가 악의적인 웹페이지에서의 교차 출처 요청을 악용하여 피해자의 로컬 머신에서 실행 중인 MLflow Assistant와 상호작용할 수 있습니다. 성공적인 악용 시 공격자는 임의의 명령을 실행하고, 로컬 파일에 접근하며, 피해자의 인증된 세션을 통해 MLflow 프로젝트를 조작할 수 있는 능력을 얻게 됩니다.
공격 경로
공격자는 http://localhost:5000/ajax-api (기본 MLflow UI 포트)로 세밀하게 조작된 요청을 보내는 JavaScript를 포함한 악의적인 웹페이지를 호스팅합니다. MLflow Assistant가 실행 중인 피해자가 공격자의 페이지를 방문하면, 브라우저는 출처 검사가 누락되어 있어 MLflow 서버가 수락하는 교차 출처 요청을 실행합니다. 공격자는 Assistant 명령을 호출하고, 코드 셀을 실행하며, 모델 메타데이터를 쿼리하고, MLflow 프로세스가 접근할 수 있는 파일에 접근할 수 있습니다.
영향받는 시스템
MLflow Assistant 기능이 활성화된 MLflow 3.9.0 설치. 이 취약점은 모델 개발 중 MLflow를 로컬에서 실행하는 데이터 과학자 및 ML 엔지니어, 특히 코드 생성 및 실험 관리를 위해 Assistant의 AI 채팅 인터페이스를 사용하는 사용자에게 영향을 미칩니다.
완화 방안
MLflow는 아직 패치 버전을 출시하지 않았으며, CVE-2026-2611은 2026년 5월 19일 NVD에 수정 사항 없이 공개되었습니다. 임시 완화 조치: (1) 필요하지 않다면 MLflow Assistant 기능 비활성화; (2) 방화벽 규칙을 통해 MLflow UI 접근을 localhost로만 제한; (3) 엄격한 CORS 강제를 하는 브라우저 사용; (4) MLflow Assistant가 실행 중일 때 신뢰할 수 없는 웹사이트 방문 회피. MLflow GitHub 저장소에서 보안 공지사항을 모니터링하고 패치가 출시되면 즉시 업그레이드하십시오.