В mlflow/mlflow была выявлена уязвимость Local File Inclusion (LFI), в частности, в версии 2.9.2, которая была исправлена в версии 2.11.3. Эта уязвимость возникает из-за того, что приложение не может должным образом проверить фрагменты URI на наличие последовательностей обхода каталогов, таких как ‘../’. Злоумышленник может использовать этот недостаток, манипулируя частью URI fragment для чтения произвольных файлов в локальной файловой системе, включая конфиденциальные файлы, такие как ‘/etc/passwd’. Уязвимость является обходом предыдущего патча, который касался только аналогичных манипуляций в строке запроса URI, что подчеркивает необходимость всесторонней проверки всех частей URI для предотвращения LFI-атак.