Apa yang terjadi
CVE-2026-5366 dipublikasikan pada 2026-06-20 (CVSS 9.9 Kritis, CWE-94). Versi Prefect 3.6.23 dan lebih awal menangani input yang dikendalikan pengguna dengan tidak tepat dalam kelas penyimpanan GitRepository yang digunakan untuk mengambil kode untuk eksekusi pipeline ML/data. Parameter commit_sha dan directories dilewatkan ke panggilan subprocess git tanpa validasi atau pemisah argumen --, memungkinkan injeksi flag git (misalnya, --upload-pack) yang menyebabkan git menjalankan program eksternal yang dikendalikan penyerang. Versi yang terpengaruh tercantum sebagai 'melalui terbaru', menunjukkan tidak ada patch upstream yang tersedia pada pengungkapan.
Mengapa penting
Prefect adalah platform orkestrasi alur kerja MLOps yang banyak digunakan. Dalam penerapan bersama atau multi-penyewa — umum dalam platform ML perusahaan — pengguna dengan hak istimewa rendah (satu yang hanya dapat membuat penerapan) dapat meningkat ke eksekusi kode arbitrer pada mesin worker, yang berpotensi mengompromikan semua rahasia pipeline ML, artefak model, data pelatihan, dan kredensial cloud yang dapat diakses oleh worker.
Vektor serangan
Penyerang dengan izin pembuatan penerapan meneruskan parameter commit_sha atau directories yang berbahaya ke kelas penyimpanan GitRepository milik Prefect. Karena nilai-nilai ini diinterpolasikan ke dalam panggilan sub-proses git tanpa pemisah -- atau validasi input, penyerang dapat menyuntikkan flag git arbitrer seperti --upload-pack untuk menjalankan program eksternal, mencapai RCE pada mesin worker
Sistem yang terdampak
Prefect (prefecthq/prefect) ≤ 3.6.23
Mitigasi
Tidak ada versi yang diperbaiki dikonfirmasi pada waktu pengungkapan; monitor https://huntr.com/bounties/e2e88a0f-a8f6-49c9-94c5-e98dc385f07a dan GitHub Prefect untuk perbaikan. Batasi izin pembuatan penerapan dan hindari mengekspos kumpulan pekerjaan bersama kepada pengguna yang tidak dipercaya.