В последней версии mlflow/mlflow, когда включено приложение Basic-auth, конечные точки трассировки и оценки не защищены средствами проверки разрешений. Это позволяет любому аутентифицированному пользователю, включая пользователей с NO_PERMISSIONS в эксперименте, читать информацию трассировки и создавать оценки для трассировок, к которым у него не должно быть доступа. Эта уязвимость влияет на конфиденциальность, раскрывая метаданные трассировки и целостность, позволяя несанкционированное создание оценок.
Это касается развертываний с использованием mlflow server --app-name=basic-auth.
Показать оригинальное описание (EN)
In the latest version of mlflow/mlflow, when the `basic-auth` app is enabled, tracing and assessment endpoints are not protected by permission validators. This allows any authenticated user, including those with `NO_PERMISSIONS` on the experiment, to read trace information and create assessments for traces they should not have access to. This vulnerability impacts confidentiality by exposing trace metadata and integrity by allowing unauthorized creation of assessments. Deployments using `mlflow server --app-name=basic-auth` are affected.
Характеристики атаки
Последствия
Строка CVSS v3.0