기술 설명
MLflow 버전 3.9.0에서 MLflow Assistant 기능의 /ajax-api 엔드포인트에 크로스 오리진 요청 취약점이 도입되었습니다. 부적절한 오리진 검증으로 인해 원격 공격자는 악성 웹페이지에서 크로스 오리진 요청을 악용하여 피해자의 로컬 머신에서 실행 중인 MLflow Assistant와 상호작용할 수 있습니다. 성공적인 악용 시 공격자는 임의의 명령 실행, 로컬 파일 접근, 피해자의 인증된 세션을 통한 MLflow 프로젝트 조작 능력을 얻습니다.
공격 경로
공격자는 http://localhost:5000/ajax-api (기본 MLflow UI 포트)로 조작된 요청을 전송하는 JavaScript를 포함하는 악성 웹페이지를 호스팅합니다. MLflow Assistant가 실행 중인 피해자가 공격자의 페이지를 방문하면 브라우저는 오리진 검사 누락으로 인해 MLflow 서버가 수락하는 크로스 오리진 요청을 실행합니다. 공격자는 Assistant 명령을 호출하고, 코드 셀을 실행하며, 모델 메타데이터를 조회하고, MLflow 프로세스에 접근 가능한 파일에 액세스할 수 있습니다.
영향받는 시스템
MLflow Assistant 기능이 활성화된 MLflow 3.9.0 설치. 이 취약점은 모델 개발 중에 MLflow를 로컬에서 실행하는 데이터 과학자 및 머신러닝 엔지니어, 특히 코드 생성 및 실험 관리를 위해 Assistant의 AI 채팅 인터페이스를 사용하는 사용자에게 영향을 미칩니다.
완화 방안
MLflow는 아직 패치된 버전을 출시하지 않았으며, CVE-2026-2611은 2026년 5월 19일 NVD에 공개되었으나 해결책이 없습니다. 임시 완화 조치: (1) 필요하지 않은 경우 MLflow Assistant 기능 비활성화; (2) 방화벽 규칙을 통해 MLflow UI 액세스를 localhost만으로 제한; (3) CORS 강제 적용이 엄격한 브라우저 사용; (4) MLflow Assistant 실행 중 신뢰할 수 없는 웹사이트 방문 회피. MLflow GitHub 저장소에서 보안 공지사항을 모니터링하고 패치가 제공되는 즉시 업그레이드하십시오.