CVE-2026-2734 mlflowの認証バイパス脆弱性によるモデルバージョン列挙問題とAIセキュリティ対策ガイド

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSSスコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-21 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-2734はmlflow/mlflow 3.9.0以前で、認証済みユーザーがモデルごとの権限を飛ばして全モデルバージョンを列挙できる脆弱性です。LLMゲートウェイ運用者にとって情報漏洩リスクが高いため最優先対応が必要です。

やさしく説明すると

この脆弱性は玄関の鍵はかかっているのに、部屋ごとの鍵が全て外れているイメージです。ログインしたユーザーは本来入れないモデルの情報まで見られます。AIモデルのメタ情報が盗まれて、企業秘密や顧客データの漏洩につながるかもしれません。

技術的な原因

原因はCWE-284「不十分なアクセス制御（Improper Access Control）」です。mlflowのREST API「SearchModelVersions」とGraphQLの「mlflowSearchModelVersions」が個別モデルの権限チェックを抜けています。具体的には、REST APIのリクエスト検証処理やGraphQLの認可ミドルウェアで該当機能が対象外となっているためです。

影響を受けると何が困るか

• APIキーなど機密情報は直接的には漏れませんが、AIモデル名やバージョン説明、タグ、ソースURIなどの機密メタデータが漏洩する
• 複数テナントの分離運用環境で、他テナントモデルの情報が丸見えになる
• プロンプト設計やAIエージェント構成の情報が漏れてエージェントの悪用や乗っ取り、AI Security上のリスク増大
• AI駆動開発で使うCursorやClineなどのツールが依存するMLインフラの内部情報漏洩リスク
• RAG（Retrieval-Augmented Generation）パイプラインのデータ流出や改ざんリスク

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコアは未公表のため正確な深刻度不明だが、権限のあるユーザー限定かつ認証が必要なため即時の危機は回避可能
• EPSSスコア（実際に悪用される予測確率）は提供されていない
• ランサムウェアによる悪用報告は不明（CISA KEV登録なし）
• 公開PoCやExploitは存在しない（GitHub, Exploit Databaseで確認）
• 攻撃に必要な条件は「認証済みユーザーであること」。標準設定で認証有効なら攻撃困難

誰が動くべきか

• mlflow/mlflow を LLM Gateway や MCP Server 等で使うMLインフラチーム
• Agentic AIフレームワークの基盤としてmlflowを使っている開発・運用者
• CursorやClineなどのAIコーディングツール利用者で間接的に影響を受ける可能性があるバイブコーダー開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
mlflow/mlflow	3.9.0 以下のすべてのバージョン	3.10.0 以降

バージョン確認コマンド

Python（pip）

pip show mlflow

出力例:

Name: mlflow
Version: 3.9.0
Summary: MLflow: Open source platform for the machine learning lifecycle.
...

判定: Version が 3.9.0 以下（例: 3.9.0, 3.8.0など）なら脆弱。3.10.0以上なら安全

Python（pip list）

pip list | grep mlflow

出力例:

mlflow          3.9.0

判定: 3.9.0 以下なら脆弱

設定確認

本脆弱性は基本認証（Basic Authentication）が有効な場合に対象となるため、まずは認証設定の確認をしてください。認証が無効または別方式ならリスクが変わる可能性があります。ただし、基本認証が有効でかつバージョンが3.9.0以下なら脆弱です。

Nucleiテンプレートでの検出

公開のNucleiテンプレートは存在しません。検出はバージョン確認と設定確認に限ります。

STEP 4: 修正を適用する

パッチ適用

Python（pip）でのアップグレード例

pip install --upgrade mlflow

判定: アップグレード後に pip show mlflow で 3.10.0 以上 なら修正済み

注意: 本番環境でアップグレードする前に必ずバックアップを取り、ステージング環境で動作検証を行ってください。MLパイプラインの互換性も考慮し、十分なテスト計画を立てたうえで実施してください。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応策は提示されていません。必要に応じてベーシック認証の強化やネットワークアクセス制限、不要なAPIの無効化などでリスクを下げる対応を検討してください。

STEP 5: 修正されたことを確認する

STEP 3のバージョン確認コマンドを再度実行してください。

期待される出力

Python（pip）

pip show mlflow

出力例:

Name: mlflow
Version: 3.10.0
Summary: MLflow: Open source platform for the machine learning lifecycle.
...

判定: バージョンが 3.10.0 以上ならOK

追加で確認すべきこと

• 脆弱性検出ツールを利用している場合はNucleiテンプレートが出た際に再実行を推奨
• 運用ログに不審なAPIアクセス記録がないか監視を続ける

補足: 悪用観測状況

現時点でCISA KEV（悪用観測カタログ）に未登録であり、公開されているPoC（攻撃コード）もありません。GitHub Advisory Databaseにも情報はなく、エクスプロイトやランサムウェアによる悪用は確認されていません。

これにより、実際の悪用リスクは現状低いと判断されますが、情報漏洩リスクは残るため継続的な監視と早めの修正対応が推奨されます。

補足: CVSSメトリクス詳細

• AV（攻撃ベクター）: ネットワーク経由（認証済みユーザー限定）
• AC（攻撃複雑度）: 低（認証があれば攻撃容易）
• PR（権限要件）: 低（認証済みユーザー）
• UI（ユーザーの関与）: なし（利用者の操作不要）
• S（スコープ）: 影響範囲は同一スコープ内
• C（機密性への影響）: 高（モデル情報漏洩）
• I（完全性への影響）: なし
• A（可用性への影響）: なし

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずSTEP 3でバージョンと設定を確認し、3.10.0にアップグレードすることが最低限必要です。対応後はSTEP 5で確認してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. ベンダーからの公式暫定対応はありませんが、認証強化やネットワーク制限、対象APIの使用停止などでリスクを下げてください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 運用ログで不審な認証済みユーザーによる全モデルバージョン列挙APIのアクセスがないかを監視してください。悪用コードは公開されていません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは実際に悪用される確率を示します。両方を把握すると優先対応の判断が正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じく権限チェック不足（CWE-284）による情報漏洩系脆弱性がAI関連製品でも過去に報告されています。mlflowに限らず権限設定を慎重に管理してください。

参考文献

• NVD – CVE-2026-2734
• mlflow GitHub修正コミット
• Huntr Bounty情報

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• API セキュリティ に関するCVE・脆弱性記事一覧
• MLOps に関するCVE・脆弱性記事一覧

2026-05-28 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-28時点	変化の意味
CVSSスコア変化	9 (Critical)	6.5 (MEDIUM)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

CVSSスコア変化

2026年5月28日付で、本脆弱性に対するCVSSスコアが「9 (Critical)」から「6.5 (MEDIUM)」へと下方修正されました。これはNVD（National Vulnerability Database）の再評価によるもので、現時点での技術的なリスク評価が変化したことを意味します。従来はクリティカル（最高度の注意喚起）扱いでしたが、影響範囲や攻撃成立条件の再解析により適切なリスクコントロールが可能と判断されたと考えられます。
運用上は「急ぎの対応」から「通常メンテナンス時の対応」レベルへ引き下げが推奨される場合がありますが、実際の利用環境によっては引き続き注意が必要です。再評価内容を必ず確認し、自組織のリスク管理方針に照らして方針を見直してください。

新規GHSAアドバイザリ

公開後、新たにGitHub Security Advisory（GHSA）が発行され、本脆弱性への追加的な注意喚起・技術解説が提供されました（0件→1件）。GHSAは主に開発者・利用者コミュニティ向けの技術的助言やパッチ情報の早期公開を担っています。
GitHub上で該当プロジェクトを利用・開発している場合は、GHSAの内容を必ず確認してください。追加の回避策や検知手法、ソースコードレベルの具体的な解説がアップデートされている可能性があります。自動依存関係チェックや通知連携でGHSAを監視・適用することも積極的に推奨します。

2026-06-04 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-04時点	変化の意味
CVSSスコア変化	9 (Critical)	6.5 (MEDIUM)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:* <3.10.0	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1件のパッチリンクあり(https://github.com/mlflow/mlflow/commit/6989066af33fdcb03588fd71a1a67f8fc5ef12c9 等)	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点ではNVDが本脆弱性に「9 (Critical)」という高いCVSSスコアを付与していましたが、その後の分析により「6.5 (MEDIUM)」まで下方修正されました。これにより、理論上のリスク評価がCritical（最優先対応）からMedium（通常メンテナンス対応レベル）へ変更されています。運用上は、即時の緊急対応から計画的な対処へリスク判断を見直すことが推奨されます。

新規GHSAアドバイザリ

記事公開当初は関連するGitHub Security Advisory（GHSA）の情報はありませんでしたが、新たに1件のGHSAが発行されました。これにより、リスク管理や脆弱性スキャンツールが自動検知する機会が増えています。運用担当者は、GitHub Advisory DatabaseやDependabotによる追加情報の有無を確認し、公式な修正状況の観測ポイントを拡充しておくことが推奨されます。

結論ボックスの対象範囲が未記入

公開時は、被影響バージョン範囲を「(詳細はベンダーアドバイザリ参照)」というあいまいな表現で案内していましたが、2026-06-04時点では「cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:* <3.10.0」と明確になりました。これにより、対象となる製品・バージョンが確定しているので、ユーザー側での影響確認作業が迅速かつ正確に行えるようになります。対象バージョンの明記に従い、自身の運用環境が該当するかを再評価してください。

結論ボックスの修正バージョンが未記入

記事公開時は修正バージョン欄に「ベンダーアドバイザリ参照」としか記載せず、具体的なパッチリンクを示せていませんでしたが、現在は「1件のパッチリンクあり(https://github.com/mlflow/mlflow/commit/6989066af33fdcb03588fd71a1a67f8fc5ef12c9 等)」が判明しています。これにより、管理者は直接的に修正版リリースや該当コミットを確認でき、迅速なアップデート適用や独自パッチ適用判断が可能です。ベンダーが提供する修正パッチへ速やかに移行することが推奨されます。