🔥 この記事の詳細
2026-06-04 更新
B
今週中

機械学習ライフサイクル管理ツール「MLflow」に、機密情報が流出する深刻な脆弱性(CVE-2026-4035)

脆弱性
🔢 CVECVE-2026-4035
📅 2026-06-04📰 secnext
📌 一言でいうと
機械学習ライフサイクル管理ツール「MLflow」に、機密情報が流出する深刻な脆弱性(CVE-2026-4035)が発見されました。AI GatewayのAPI経由で環境変数を解決させ、攻撃者が指定したエンドポイントへ認証ヘッダとして送信させることが可能です。これにより、LLMプロバイダのAPIキーやクラウドサービスのアクセスキー、暗号化鍵などが窃取される恐れがあります。
🔍該当判定
  • 機械学習管理ツール「MLflow」を自社で導入・運用している
  • MLflowのバージョンが「3.11.0」より前の古いバージョンである
  • MLflowの「AI Gateway」機能を有効にして外部からアクセス可能な状態にある
上記いずれにも該当しない → 静観でOK
該当時の対応
MLflowを最新バージョン(3.11.0以降)にアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】MLflow CVE-2026-4035 対応について

お疲れさまです。MLflowの脆弱性に関する情報共有です。

■ 概要
MLflowのAI Gateway APIにおいて、環境変数を悪用して機密情報を外部へ送信させることができる脆弱性が確認されました。認証設定がない場合、または低権限ユーザーであっても、APIキーやクラウドアクセスキー等の窃取が可能です。

■ 影響範囲
- 対象製品: MLflow
- 対象バージョン: 3.11.0 より前のバージョン

■ 対応手順
1. MLflowサーバのバージョンを確認してください。
2. 3.11.0 未満である場合は、速やかに最新バージョンへアップデートを適用してください。

■ 参考情報
- GitHub: mlflow/mlflow

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] MLflow CVE-2026-4035 Mitigation

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in MLflow.

■ Overview
A vulnerability (CVE-2026-4035) allows attackers to resolve environment variables via the AI Gateway API and exfiltrate them as authentication headers to an external endpoint. This can lead to the theft of LLM API keys, cloud access keys, and encryption keys.

■ Scope
- Product: MLflow
- Affected Versions: Versions prior to 3.11.0

■ Mitigation Steps
1. Verify the current version of your MLflow server.
2. If the version is older than 3.11.0, update to the latest version immediately.

■ Reference
- GitHub: mlflow/mlflow

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-04 のまとめ🔍 記事を検索