MLflow弱密码要求认证绕过漏洞（CVE-2025-11200）

攻击向量: 网络
攻击复杂度: 高
所需权限: 无
用户交互: 无
范围: 未改变
机密性影响: 高
完整性影响: 高
可用性影响: 高

漏洞详情

包管理器: pip
受影响包: mlflow
受影响版本: < 2.22.0rc0
已修复版本: 2.22.0rc0

MLflow弱密码要求认证绕过漏洞。该漏洞允许远程攻击者在受影响的MLflow安装中绕过身份验证。利用此漏洞不需要身份验证。

具体缺陷存在于密码处理机制中。该问题源于弱密码要求。攻击者可以利用此漏洞绕过系统身份验证。该漏洞对应ZDI-CAN-26916。

严重等级: 高危
CVSS总体评分: 8.1/10

CVSS向量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

弱点类型: CWE-521 - 弱密码要求

产品未要求用户使用强密码，这使得攻击者更容易入侵用户账户。