Informazioni sul CVE-2025-0453

Denial of Service through Batched Queries in GraphQL in mlflow/mlflow

CWE ID: CWE-400

Base Score (CVSS): N/A

CVE: CVE-2025-0453

Descrizione: In mlflow/mlflow version 2.17.2, l’endpoint `/graphql` è vulnerabile a un attacco di denial of service. Un attaccante può creare grandi batch di query che richiedono ripetutamente tutti i lavori da un determinato esperimento. Questo può bloccare tutti i lavoratori allocati da MLFlow, rendendo l’applicazione incapace di rispondere ad altre richieste. Questa vulnerabilità è dovuta al consumo incontrollato delle risorse.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://huntr.com/bounties/788327ec-714a-4d5c-83aa-8df04dd7612b

Prodotti interessati

mlflow – mlflow/mlflow

Relazioni con altri prodotti

Produttore:mlflow
Prodotto: mlflow/mlflow
Anno: 2025
CWE: CWE-400
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2025)