技术说明
MLflow版本3.9.0在MLflow Assistant功能的/ajax-api端点中引入了跨源请求漏洞。不当的源验证允许远程攻击者利用来自恶意网页的跨源请求与运行在受害者本地机器上的MLflow Assistant进行交互。成功利用该漏洞将使攻击者能够通过受害者的已认证会话执行任意命令、访问本地文件并操纵MLflow项目。
攻击途径
攻击者托管一个包含JavaScript的恶意网页,该脚本向http://localhost:5000/ajax-api(默认MLflow UI端口)发送精心构造的请求。当运行MLflow Assistant的受害者访问攻击者的页面时,浏览器执行跨源请求,由于缺少源检查,MLflow服务器会接受这些请求。攻击者随后可以调用Assistant命令、运行代码单元、查询模型元数据并访问MLflow进程可访问的文件。
受影响系统
启用MLflow Assistant功能的MLflow 3.9.0安装。该漏洞影响在模型开发期间本地运行MLflow的数据科学家和机器学习工程师,特别是那些使用Assistant的AI聊天界面进行代码生成和实验管理的用户。
缓解措施
MLflow尚未发布修补版本;CVE-2026-2611于2026年5月19日在NVD上披露,但未附带相应修复。临时缓解措施:(1) 如不需要则禁用MLflow Assistant功能;(2) 通过防火墙规则将MLflow UI访问限制为仅localhost;(3) 使用具有严格CORS执行的浏览器;(4) 在MLflow Assistant运行时避免浏览不受信任的网站。监控MLflow GitHub存储库的安全公告,并在补丁可用后立即升级。