MLflow использует уязвимость обхода аутентификации по паролю по умолчанию. Эта уязвимость позволяет удаленным злоумышленникам обойти аутентификацию на затронутых установках MLflow. Для использования этой уязвимости аутентификация не требуется.
Конкретная ошибка существует в файле Basic_auth.ini. Файл содержит жестко запрограммированные учетные данные по умолчанию. Злоумышленник может использовать эту уязвимость для обхода аутентификации и выполнения произвольного кода в контексте администратора.
Был ZDI-CAN-28256.
Показать оригинальное описание (EN)
MLflow Use of Default Password Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of MLflow. Authentication is not required to exploit this vulnerability. The specific flaw exists within the basic_auth.ini file. The file contains hard-coded default credentials. An attacker can leverage this vulnerability to bypass authentication and execute arbitrary code in the context of the administrator. Was ZDI-CAN-28256.
Характеристики атаки
Последствия
Строка CVSS v3.0