A vulnerability in mlflow/mlflow versions prior to 3.11.0 allows for the resolution of environment variables in AI Gateway secrets, which can be exploited to exfiltrate sensitive server-side environment credentials to an attacker-controlled endpoint. This issue arises because the `api_key` field in gateway secrets can accept `$ENV_VAR` references, which are resolved against the MLflow server's environment during runtime. The resolved secrets are then sent in provider authentication headers to the configured upstream `api_base`. This vulnerability can be exploited by low-privileged authenticated users in basic-auth deployments or by unauthenticated users in default deployments without `basic-auth`. The impact includes potential leakage of sensitive credentials such as cloud artifact credentials (`AWS_ACCESS_KEY_ID`, `AWS_SECRET_ACCESS_KEY`), which could lead to artifact poisoning and cross-boundary code execution in downstream environments. The issue is fixed in version 3.11.0.
MLflow versions before 3.11.0 allow environment variable resolution in AI Gateway secrets, enabling attackers to exfiltrate sensitive server credentials like AWS keys. Low-privileged or unauthenticated users can exploit this vulnerability to leak sensitive authentication data to attacker-controlled endpoints.
تسمح الثغرة بحل متغيرات البيئة في حقل api_key لأسرار بوابة الذكاء الاصطناعي، مما يؤدي إلى إرسال بيانات الاعتماد المحللة في رؤوس المصادقة إلى نقاط نهاية خارجية يتحكم بها المهاجم. يمكن استغلالها من قبل مستخدمين غير مصرح لهم في الحالات الافتراضية أو مستخدمين بامتيازات منخفضة في نشرات المصادقة الأساسية. قد يؤدي هذا إلى تسريب بيانات اعتماد حساسة مثل مفاتيح AWS وتسميم القطع الأثرية.
إصدارات MLflow السابقة للإصدار 3.11.0 تسمح بحل متغيرات البيئة في أسرار بوابة الذكاء الاصطناعي، مما يمكّن المهاجمين من سرقة بيانات اعتماد الخادم الحساسة. يمكن للمستخدمين ذوي الامتيازات المنخفضة أو غير المصرح لهم استغلال هذه الثغرة لتسريب بيانات المصادقة الحساسة.
Upgrade MLflow to version 3.11.0 or later immediately. Disable basic-auth if not required and implement strict access controls. Rotate all exposed credentials including AWS keys, API keys, and authentication tokens. Monitor environment variables and audit logs for suspicious activity. Implement network segmentation to restrict outbound connections from MLflow servers.
قم بترقية MLflow إلى الإصدار 3.11.0 أو أحدث فوراً. عطّل المصادقة الأساسية إن لم تكن مطلوبة وطبّق ضوابط وصول صارمة. أعد تعيين جميع بيانات الاعتماد المكشوفة بما فيها مفاتيح AWS. راقب متغيرات البيئة وسجلات التدقيق. طبّق تقسيم الشبكة لتقييد الاتصالات الصادرة.