Kritische DNS-Umleitung in MLFlow (CVE-2025-14279)
⚠️ CVE-Referenzen:
CVE-2025-14279
Zusammenfassung
Schwachstelle in MLFlow-Versionen bis 3.4.0 ermöglicht DNS-Umleitungsangriffe. Angreifer können so unbefugt auf REST-Schnittstellen zugreifen und Experimente auslesen, ändern oder löschen. Das Risiko von Datenverlust oder -manipulation ist gegeben. Das Problem wurde in Version 3.5.0 behoben.
Mlflow - Mlflow/mlflow - HIGH - CVE-2025-14279.
MLFlow versions up to 3.4.0 are susceptible to DNS rebinding attacks due to insufficient validation of the Origin header in its REST server. This weakness allows malicious websites to circumvent Same-Origin Policy protections, enabling unauthorized interactions with REST endpoints. Attackers can exploit this vulnerability to query, update, or delete experiments within MLFlow, posing risks of data exfiltration, loss, or alteration. The issue has been addressed in version 3.5.0.
Quelle: securityvulnerability.io