漏洞概述 漏洞名称: Authorization bypass on all trace endpoints when auth is enabled in mlflow/mlflow CVE编号: CVE-2026-BI47 漏洞类型: CWE-286: Improper Access Control 严重程度: High (8.1) 受影响版本: Mlflow 3.10.1 修复状态: Fixed 发现者: ayushparkara 修复者: Tomu Hirata 影响范围 该漏洞允许任何经过身份验证的用户绕过实验级别的授权,对所有trace操作进行未经授权的访问。具体影响包括: 搜索和读取traces(包含LLM提示、响应、函数参数等敏感数据) 删除他们无权访问的traces(可能破坏审计日志) 修改trace标签 修复方案 漏洞已修复,具体修复措施未在页面中详细说明。 POC代码 根本原因 漏洞的根本原因在于 函数中,当没有找到验证器时,请求会未经过任何授权检查就继续执行。具体代码如下: 发生位置 : — 有验证器的实验操作(CreateExperiment, GetExperiment, DeleteExperiment, CreateRun, GetRun, DeleteRun, CreateRegisteredModel等),但没有StartTraceV3, GetTrace, SearchTracesV3, DeleteTracesV3, SetTraceTagV3等trace操作的验证器。 : 和 — 存在trace权限检查,但仅连接到artifact下载路径(第1629行),未连接到任何trace CRUD端点。 : 失败的逻辑。当 为trace路由返回None时,不会运行任何授权检查。