기술 설명
MLflow 3.11.0 이전 버전은 AI Gateway 시크릿의 api_key 필드에 포함된 환경 변수 참조(예: $AWS_ACCESS_KEY_ID)를 서버의 라이브 환경에 대해 해석한 후 해석된 값을 구성된 api_base URL의 제공자 인증 헤더로 전달합니다. 게이트웨이 시크릿을 쓸 수 있는 공격자 — 기본 인증 배포에서는 낮은 권한의 인증된 사용자, 기본 배포에서는 모든 인증되지 않은 사용자 — api_base를 공격자 제어 엔드포인트로 설정하고 서버 측 환경 자격 증명(모델 아티팩트 저장소에 사용되는 AWS 액세스 키 및 시크릿 포함)을 유출할 수 있으며, 이는 아티팩트 포이즈닝 및 다운스트림 환경에서의 교차 경계 코드 실행을 가능하게 합니다.
공격 경로
공격자 제어 api_base URL 및 api_key 필드의 환경 변수 참조가 있는 게이트웨이 시크릿에 대한 인증되지 않은(기본 배포) 또는 낮은 권한의 인증된(기본 인증 배포) 쓰기입니다. MLflow의 AI Gateway는 다음 제공자 호출에서 해석된 자격 증명 값을 전달합니다.
영향받는 시스템
MLflow AI Gateway, 3.11.0 이전의 모든 버전. 기본 인증이 없는 자체 호스팅 배포에서 특히 높은 위험(기본 구성).
완화 방안
즉시 MLflow 3.11.0으로 업그레이드하세요(패치 커밋 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3). 즉시 업그레이드가 불가능한 경우, 게이트웨이 시크릿 쓰기 액세스를 신뢰할 수 있는 관리자만으로 제한하고 기존 게이트웨이 시크릿을 공격자가 도달 가능한 api_base URL을 가리키는 환경 변수 참조에 대해 감사하세요. 잠재적으로 노출된 클라우드 자격 증명을 순환시키세요.