기술 설명
MLflow 3.11.0 이전 버전은 AI Gateway 비밀의 api_key 필드에 포함된 환경 변수 참조(예: $AWS_ACCESS_KEY_ID)를 서버의 실시간 환경에 대해 해석한 후 해석된 값을 구성된 api_base URL의 공급자 인증 헤더로 전달합니다. 게이트웨이 비밀을 작성할 수 있는 공격자(기본 인증 배포에서는 낮은 권한의 인증된 사용자, 기본 배포에서는 인증되지 않은 모든 사용자)는 api_base를 공격자 제어 엔드포인트로 설정하고 모델 아티팩트 저장소에 사용되는 AWS 액세스 키 및 비밀을 포함한 서버 측 환경 자격 증명을 유출하여 아티팩트 손상 및 다운스트림 환경에서의 경계 간 코드 실행을 가능하게 할 수 있습니다.
공격 경로
공격자 제어 api_base URL과 api_key 필드의 환경 변수 참조가 있는 게이트웨이 비밀의 인증되지 않은(기본 배포) 또는 낮은 권한의 인증된(기본 인증 배포) 쓰기 작업입니다. MLflow의 AI Gateway는 다음 공급자 호출에서 해석된 자격 증명 값을 전달합니다.
영향받는 시스템
MLflow AI Gateway, 3.11.0 이전의 모든 버전입니다. 특히 기본 인증이 없는 자체 호스팅 배포에서 위험도가 높으며, 이는 기본 구성입니다.
완화 방안
즉시 MLflow 3.11.0으로 업그레이드하세요(패치 커밋 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3). 즉시 업그레이드가 불가능한 경우, 게이트웨이 비밀 쓰기 액세스를 신뢰할 수 있는 관리자만으로 제한하고 기존 게이트웨이 비밀에서 공격자가 도달 가능한 api_base URL을 가리키는 환경 변수 참조를 감사하세요. 잠재적으로 노출된 클라우드 자격 증명을 순환하세요.