技术说明
MLflow 3.11.0之前的版本解析嵌入在AI网关秘密的api_key字段中的环境变量引用(例如$AWS_ACCESS_KEY_ID),针对服务器的实时环境,然后在提供商认证标头中将解析的值转发给配置的api_base URL。能够写入网关秘密的攻击者 — 基本认证部署中的低权限认证用户,或默认部署中的任何未认证用户 — 可以将api_base设置为攻击者控制的端点并泄露服务器端环境凭证,包括用于模型工件存储的AWS访问密钥和秘密,从而启用工件中毒和下游环境中的跨边界代码执行。
攻击途径
未认证(默认部署)或低权限认证(基本认证部署)对具有攻击者控制的api_base URL和api_key字段中环境变量引用的网关秘密的写入。MLflow的AI网关随后在下一个提供商调用中转发解析的凭证值。
受影响系统
MLflow AI网关,所有3.11.0之前的版本。在没有基本认证的自托管部署中风险特别高,这是默认配置。
缓解措施
立即升级到MLflow 3.11.0(补丁提交4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3)。如果无法立即升级,请将网关秘密写入访问限制为仅受信任的管理员,并审计现有网关秘密中指向可攻击者访问api_base URL的环境变量引用。轮换任何可能被暴露的云凭证。