CVE-2026-2393 MLflowに潜むSSRF脆弱性解説とAIセキュリティ対策ガイド【LLMエンジニア必見】

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5〜10分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-2393 は MLflow の脆弱性です。認証済み攻撃者は、MLflow backend に内部サービスへ HTTP リクエストを送らせます。MLflow を使う AI / LLM 運用者には、優先対応が必要です。

やさしく説明すると

これは、玄関の中から勝手に外へ電話をかけさせるような問題です。

攻撃者は、MLflow の webhook URL に細工した値を入れます。

すると MLflow は、その相手先へ通信します。

つまり、攻撃者は内部ネットワークやクラウドの内部情報へ近づけます。

言い換えると、外に出るはずのない通信を、内部から発生させます。

技術的な原因

原因は SSRF（サーバサイドリクエストフォージェリ） です。CWE は CWE-918 です。

_create_webhook() が、ユーザー入力の url を検証しません。さらに、_send_webhook_request() が、その URL へ HTTP POST を送ります。

つまり、攻撃者は MLflow に「どこへ送るか」を決めさせられます。URL スキームの制限も、allowlist（許可リスト）検証もありません。

影響を受けると何が困るか

• クラウド認証情報の漏洩。攻撃者は metadata endpoint を狙えます。
• 内部ネットワークへのアクセス。攻撃者は社内向けサービスを呼び出せます。
• データ流出。攻撃者は MLflow 経由で外部サーバへ通信を誘導できます。
• AI / LLM 運用への波及。MLflow を RAG や実験管理に使う環境では、周辺の機微情報が狙われます。
• LLM Proxy や Agentic 基盤の連携先探索。内部 API への到達経路が増えると、横展開の起点になります。
• .env や認証情報の漏洩。内部サービス側に秘密情報があれば、攻撃者はそこへ接触できます。

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 【高】

判断根拠

• CVSS: NVD に CVSS 情報はありません。実務的には、点数だけでなく KEV と修正有無を優先して見ます。
• EPSS: 0.03% です。これは直近30日で悪用される予測確率です。
• ランサムウェア悪用: Unknown です。CISA データでは不明です。
• 公開PoC数: GitHub 上の公開 PoC は 0 件です。NVD の Exploit タグも 0 件です。
• 悪用に必要な条件: 攻撃者は 認証済み である必要があります。攻撃経路は ネットワーク到達可能 で、ユーザ操作不要 です。

誰が動くべきか

• MLflow を本番運用している ML インフラチーム
• 実験管理やモデル管理で MLflow を使う RAG パイプライン保守者
• AI / LLM 基盤を支える SecOps と SRE
• MLflow をコンテナや Kubernetes で配備している 運用者
• AI 駆動開発の中で MLflow を接続している バイブコーダー

つまり、MLflow を使っている組織は、まず対象確認を進める必要があります。

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
MLflow	3.9.0 より前	3.9.0

バージョン確認コマンド

Python（pip）

pip show mlflow

出力例:

Name: mlflow
Version: 3.8.1
Summary: ML lifecycle management

判定: Version が 3.9.0 未満なら脆弱です。3.9.0 以上なら安全側です。

Python（poetry）

poetry show mlflow

出力例:

 mlflow         3.8.1   ML lifecycle management

判定: 表示されたバージョンが 3.9.0 未満なら脆弱です。

Python（uv / conda）

uv pip list | grep mlflow

出力例:

mlflow 3.8.1

判定: 3.9.0 未満なら脆弱です。

設定確認

設定依存ではありません。バージョンが対象範囲なら脆弱です。

STEP 4: 修正を適用する

パッチ適用

Python（pip）

pip install --upgrade mlflow==3.9.0

出力例:

Successfully installed mlflow-3.9.0

判定: mlflow が 3.9.0 に更新できれば修正済みです。

注意: 本番の AI / LLM 基盤で更新する前に、ステージング環境で webhook 周辺の動作確認を行ってください。必要ならバックアップも取得してください。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを、再度実行する。

期待される出力

Python（pip）

pip show mlflow

出力例:

Name: mlflow
Version: 3.9.0
Summary: ML lifecycle management

判定: バージョンが 3.9.0 以上ならOKです。3.9.0 未満なら未修正です。

追加で確認すべきこと

• MLflow のログに不審な webhook 宛先がないか確認します。
• 内部サービスや metadata endpoint への通信がないか監視します。
• 必要ならバージョン確認をもう一度実施します。

補足: 悪用観測状況

CISA KEV には登録されていません。CISA の情報では、ランサムウェア悪用は Unknown です。

NVD の Exploit タグリンク数は 0 件です。公開 PoC リポジトリ数も 0 件です。つまり、現時点では広く武器化された状況は確認できません。

補足: CVSSメトリクス詳細

NVD に CVSS 情報はありません。

• AV（攻撃元区分）: 不明
• AC（攻撃条件の複雑さ）: 不明
• PR（必要な権限）: 不明
• UI（ユーザ操作）: 不明
• S（スコープ）: 不明
• C（機密性）: 不明
• I（完全性）: 不明
• A（可用性）: 不明

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3 で対象バージョンか確認し、STEP 4 で 3.9.0 へ修正してください。最後に STEP 5 で再確認します。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応は提示されていません。したがって、更新計画を優先し、MLflow へのアクセス経路を厳しく管理してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 提供データでは IOC はありません。MLflow のログと内部通信の記録を確認してください。

Q. なぜ EPSS スコアが重要なのですか？

A. EPSS は直近で悪用される予測確率です。CVSS は深刻度の目安で、EPSS は現実の悪用優先度を見ます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. はい。CWE-918 の SSRF は、AI / LLM 基盤や API 連携系で広く問題になります。特に webhook や URL を扱う機能は注意が必要です。

参考文献

• NVD: CVE-2026-2393
• MITRE CVE: CVE-2026-2393
• MLflow commit: 64aa0ab7207f9c649b59ba1a5f40d82196817389
• huntr bounty: 04ef100d-06b5-4a70-95b1-b7be23aa8150
• GitHub Advisory Database 検索

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• SSRF に関するCVE・脆弱性記事一覧
• MLOps に関するCVE・脆弱性記事一覧

2026-06-26 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-26時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:* <3.9.0	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	1件のパッチリンクあり(https://github.com/mlflow/mlflow/commit/64aa0ab7207f9c649b59ba1a5f40d82196817389 等)	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

NVD（National Vulnerability Database）による再評価の結果、CVE-2026-2393 のCVSSスコアが「9 (Critical)」から「7.1 (HIGH)」へと下方修正されました。これにより、最初想定されていたほどの緊急性や広範囲な深刻リスクではないと見なされることになりますが、それでも依然として修正の優先度は高い水準です。運用環境に影響がある場合は、過度に危機感を持ちすぎず、ガイドラインに従って着実な対応を行ってください。

新規GHSAアドバイザリ

本脆弱性について、GitHub Security Advisory（GHSA）が新たに1件発行されました。これにより、オープンソースエコシステムでのリスク認識やアップデート管理のための公式情報が拡充され、pipなどGitHub依存のパッケージ管理環境においても迅速な情報共有が期待されます。運用担当者は、GHSAアドバイザリ内容にも目を通し、改めて自組織内での該当状況の確認を推奨します。

結論ボックスの対象範囲が未記入

記事公開時点では「(詳細はベンダーアドバイザリ参照)」の表記しかなく、どの製品バージョンが影響を受けるか明記されていませんでした。現在は「cpe:2.3:a:lfprojects:mlflow:*:*:*:*:*:*:*:* <3.9.0」と具体的な影響範囲が確定しています。利用しているMLflowのバージョンが該当するか必ず確認し、対象範囲内であれば速やかな対応を検討してください。

結論ボックスの修正バージョンが未記入

これまで結論ボックスの修正版バージョン情報は「ベンダーアドバイザリ参照」となっていましたが、現在は「1件のパッチリンクあり(https://github.com/mlflow/mlflow/commit/64aa0ab7207f9c649b59ba1a5f40d82196817389 等)」と具体的な修正内容が明記されるようになりました。対象製品の運用管理者はこのパッチ内容を参照し、該当バージョンに確実に更新することが推奨されます。早めのパッチ適用をご検討ください。

タイトルプレフィックス未付与

公開時、記事タイトルに「【高】」といった危険度に応じたプレフィックスが未付与のままでした。最新情報に基づき、CVSSスコア7.1 (HIGH) と評価されたため、現在の運用ルールに従いプレフィックス「【高】」が付与されています。これにより、タイトルだけで緊急度・優先度の判断がしやすくなります。記事を参照する関係者は、タイトル表記の意味にも留意し、計画的な対応判断をお願いします。