Penjelasan teknis
Versi MLflow sebelum 3.11.0 menyelesaikan referensi variabel lingkungan (misalnya $AWS_ACCESS_KEY_ID) yang tertanam dalam bidang api_key dari rahasia AI Gateway terhadap lingkungan server yang aktif dan kemudian meneruskan nilai yang diselesaikan dalam header autentikasi penyedia ke URL api_base yang dikonfigurasi. Penyerang yang dapat menulis rahasia gateway — pengguna autentikasi dengan privilege rendah dalam deployment basic-auth, atau pengguna tidak autentikasi apa pun dalam deployment default — dapat mengatur api_base ke endpoint yang dikontrol penyerang dan mengekstrak kredensial lingkungan sisi server, termasuk kunci akses AWS dan rahasia yang digunakan untuk penyimpanan artefak model, yang memungkinkan keracunan artefak dan eksekusi kode lintas batas di lingkungan hilir.
Vektor serangan
Penulisan rahasia gateway yang tidak autentikasi (deployment default) atau autentikasi dengan privilege rendah (deployment basic-auth) dengan URL api_base yang dikontrol penyerang dan referensi env-var dalam bidang api_key. AI Gateway MLflow kemudian meneruskan nilai kredensial yang diselesaikan pada panggilan penyedia berikutnya.
Sistem yang terdampak
MLflow AI Gateway, semua versi sebelum 3.11.0. Risiko sangat tinggi dalam deployment yang di-host sendiri tanpa basic-auth, yang merupakan konfigurasi default.
Mitigasi
Upgrade ke MLflow 3.11.0 segera (patch commit 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3). Jika upgrade segera tidak memungkinkan, batasi akses penulisan gateway-secret hanya untuk administrator terpercaya dan audit rahasia gateway yang ada untuk referensi env-var yang mengarah ke URL api_base yang dapat dijangkau penyerang. Rotasi kredensial cloud apa pun yang berpotensi terpapar.