出典: Security NEXT – https://www.security-next.com/181334
機械学習プラットフォーム「MLflow」に認証バイパスの脆弱性
機械学習プラットフォーム「MLflow」に認証バイパスの脆弱性
機械学習プラットフォーム「MLflow」に認証の回避が可能となる深刻な脆弱性が確認された。アドバイザリが公表されており、すでに修正済みだという。
認証情報がデフォルトでファイル内にハードコードされており、認証のバイパスが可能となる脆弱性「CVE-2026-2635」が明らかとなったもの。脆弱性を悪用することで、認証を必要とすることなくリモートからアクセスが可能となり、管理者の権限で任意のコードを実行できる。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは「9.8」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
2025年10月14日にZero Day Initiativeが脆弱性を報告した。2025年12月に修正が実施され、調整を経て2026年2月19日にアドバイザリとして公開された。
「MLflow」については、重要度が「高(High)」とされるパストラバーサルの脆弱性「CVE-2026-2033」も修正されており、同時期に修正されたという。
(S
