Penjelasan teknis
MLflow versi 3.9.0 memperkenalkan kerentanan cross-origin request di endpoint /ajax-api fitur MLflow Assistant. Validasi origin yang tidak tepat memungkinkan penyerang jarak jauh untuk memanfaatkan permintaan cross-origin dari halaman web berbahaya guna berinteraksi dengan MLflow Assistant yang berjalan di mesin lokal korban. Eksploitasi yang berhasil memberikan penyerang kemampuan untuk menjalankan perintah sewenang-wenang, mengakses file lokal, dan memanipulasi proyek MLflow melalui sesi terautentikasi korban.
Vektor serangan
Penyerang menyelenggarakan halaman web berbahaya yang berisi JavaScript mengirimkan permintaan yang dirancang ke http://localhost:5000/ajax-api (port MLflow UI default). Ketika korban dengan MLflow Assistant yang berjalan mengunjungi halaman penyerang, browser menjalankan permintaan cross-origin yang diterima server MLflow karena kurangnya pemeriksaan origin. Penyerang kemudian dapat memanggil perintah Assistant, menjalankan sel kode, menanyakan metadata model, dan mengakses file yang dapat diakses oleh proses MLflow.
Sistem yang terdampak
Instalasi MLflow 3.9.0 dengan fitur MLflow Assistant diaktifkan. Kerentanan memengaruhi data scientist dan insinyur ML yang menjalankan MLflow secara lokal selama pengembangan model, khususnya mereka yang menggunakan antarmuka obrolan AI Assistant untuk pembuatan kode dan manajemen eksperimen.
Mitigasi
MLflow belum merilis versi yang sudah diperbaiki; CVE-2026-2611 diungkapkan di NVD pada 19 Mei 2026, tanpa disertai perbaikan. Mitigasi sementara: (1) nonaktifkan fitur MLflow Assistant jika tidak diperlukan; (2) batasi akses MLflow UI ke localhost saja melalui aturan firewall; (3) gunakan browser dengan penegakan CORS ketat; (4) hindari menjelajahi situs web yang tidak dipercaya saat MLflow Assistant berjalan. Pantau repositori GitHub MLflow untuk pemberitahuan keamanan dan tingkatkan segera setelah patch tersedia.