検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

MLflow のデフォルトの認証情報

critical Web App Scanning プラグイン ID 114323

Language:

概要

MLflow のデフォルトの認証情報

説明

MLflow はアプリケーションにアクセスするための認証を必要としません。認証を有効にすると、MLflow はデフォルトの認証情報を使用した基本認証を強制します。更新されていない場合、認証されていないリモートの攻撃者が MLflow UI にアクセスし、任意のアクションを実行する可能性があります。この検出は、AI および LLM カテゴリに含まれます。

ソリューション

デフォルトまたは予測可能な認証情報を使用するアカウントでアプリケーションを設定しないでください。攻撃者が推測したり、アプリケーションに不正アクセスしたりすることを防ぐために、複雑なパスワードポリシーを定義し、アプリケーションで利用可能なすべてのアカウントに適用する必要があります。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

https://en.wikipedia.org/wiki/Password_strength

https://mlflow.org/docs/latest/auth/index.html

プラグインの詳細

深刻度: Critical

ID: 114323

タイプ: remote

ファミリー: Artificial Intelligence

公開日: 2024/6/26

更新日: 2024/6/26

スキャンテンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

基本値: 10

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

CVSS v4

リスクファクター: Critical

Base Score: 10

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

CVSS スコアのソース: Tenable

脆弱性情報

CPE: cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

参照情報

CWE: 16

OWASP: 2010-A6, 2013-A5, 2017-A6, 2021-A5

WASC: Application Misconfiguration

OWASP API: 2019-API7, 2023-API8