【要点】
◎MLflowに認証回避の重大欠陥、管理者権限RCEのおそれ (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|
| 2026/02/20 | 2026/02/17 | CVE-2026-2635 | NVD | MLflow | - | 9.8(Zero Day Initiative) |
CWE-1393 | デフォルトのパスワードの使用 | - | MLflow |
| 2026-02-20 | 2026/02/06 | CVE-2026-2033 | NVD | MLflow | - | 8.1(Zero Day Initiative) |
CWE-22 | パス・トラバーサル | - | MLflow |
【要約】
機械学習基盤MLflowに、デフォルトで認証情報がファイルにハードコードされる不備により認証を回避できる脆弱性CVE-2026-2635が判明した。悪用されると認証不要でリモートアクセスが可能となり、管理者権限で任意コード実行に至る恐れがある。CVSSは9.8でクリティカル評価。2025年12月に修正され、2026年2月にアドバイザリが公開された。併せて高重要度のパストラバーサルCVE-2026-2033も修正済み。
【ニュース】
◆機械学習プラットフォーム「MLflow」に認証バイパスの脆弱性 (Security NEXT, 2026/02/24)
https://www.security-next.com/181334
【関連情報】
◆機械学習プラットフォーム「MLflow」に認証バイパスの脆弱性 (Security NEXT, 2026/02/24)
https://www.security-next.com/181334
⇒ https://tt-ai.hatenablog.com/entry/2026/02/24/000000
