セキュリティ

SECURITY

公開：2025-04-07

【CVE-2025-0453】MLflow 2.17.2のGraphQLエンドポイントにDoS脆弱性、制御されていないリソース消費による深刻な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MLflow 2.17.2でGraphQLエンドポイントにDoS脆弱性を確認
• クエリのバッチ処理による全ワーカーの占有が可能
• CVSSスコア5.9のミディアムレベルの脆弱性

MLflow 2.17.2のGraphQLエンドポイントに発見されたDoS脆弱性

Protect AIは2025年3月20日、機械学習プラットフォームMLflowのバージョン2.17.2において、GraphQLエンドポイントに深刻な脆弱性が存在することを公開した。この脆弱性は制御されていないリソース消費に起因しており、実験からすべての実行結果を繰り返し要求する大規模なクエリバッチを作成することが可能となっている。^[1]

攻撃者は特定の実験からすべての実行結果を要求する大規模なクエリバッチを作成することで、MLflowに割り当てられたすべてのワーカーを占有することが可能となっている。この結果、他のリクエストに対する応答が不可能となり、サービス妨害攻撃につながる深刻な脆弱性が存在することが判明した。

この脆弱性はCVE-2025-0453として識別されており、CVSSv3.0による評価では5.9点のミディアムレベルとされている。攻撃元区分はネットワークであり、攻撃条件の複雑さは高いとされているが、攻撃に必要な特権レベルは不要であり、ユーザーの関与も必要としない危険な脆弱性となっている。

MLflow 2.17.2の脆弱性詳細

サービス妨害攻撃について

サービス妨害攻撃とは、システムやネットワークのリソースを過剰に消費させることで、正常なサービス提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムやサーバーのリソースを枯渇させる手法
• 正規ユーザーのサービス利用を妨害する効果
• システムの可用性に直接的な影響を与える攻撃

MLflowの脆弱性はGraphQLエンドポイントを悪用したリソース枯渇型の攻撃であり、すべてのワーカープロセスを占有することでサービスの可用性を低下させる。この攻撃はユーザー認証やシステム権限を必要としないため、攻撃の実行が容易であり、早急な対策が必要とされている。

MLflowのDoS脆弱性に関する考察

GraphQLの柔軟なクエリ機能は開発者にとって強力なツールだが、適切なリソース制限が実装されていない場合、深刻なセキュリティリスクとなることが今回の脆弱性で明らかになった。特にMLflowのような機械学習プラットフォームでは、大量のデータや計算リソースを扱うため、クエリの制限やリソースの監視が重要な課題となっている。

今後は同様の脆弱性を防ぐため、クエリの複雑さやバッチサイズに制限を設けることが必要となるだろう。特にGraphQLエンドポイントに対しては、クエリの深さや要求するフィールド数に制限を設けるなど、きめ細かなリソース管理が求められる。また、異常なリソース消費を検知する監視システムの導入も有効な対策となる可能性がある。

MLflowコミュニティには、この脆弱性への対応として、クエリのレート制限やリソースクォータの実装を期待したい。同時に、GraphQLを利用する他の機械学習プラットフォームにとっても、今回の事例は重要な教訓となるだろう。セキュリティと利便性のバランスを保ちながら、より堅牢なシステムを構築することが求められている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0453, (参照 25-04-07).
1306

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧