何が起きたか
CVE-2026-5366は2026年6月20日に公開されました(CVSS 9.9 Critical、CWE-94)。Prefect 3.6.23以前は、ML/データパイプライン実行のためにコードを取得するために使用されるGitRepository ストレージクラスのユーザー制御入力を不適切に処理しています。commit_shaおよびdirectoriesパラメータは、検証もなく--引数セパレータもなしでgitサブプロセス呼び出しに渡され、git フラグ注入(例:--upload-pack)が可能になり、gitが攻撃者制御の外部プログラムを実行させます。影響を受けるバージョンは「最新版を含む」として記載されており、開示時にアップストリームパッチが利用可能ではなかったことを示しています。
なぜ重要か
Prefectは広く使用されているMLOpsワークフロー オーケストレーションプラットフォームです。共有またはマルチテナント展開(エンタープライズMLプラットフォームで一般的)では、権限の低いユーザー(デプロイメントの作成のみが可能)がワーカーマシン上での任意のコード実行にエスカレートでき、ワーカーがアクセス可能なすべてのMLパイプラインシークレット、モデルアーティファクト、トレーニングデータ、およびクラウド認証情報を危険にさらす可能性があります。
攻撃経路
デプロイメント作成権限を持つ攻撃者は、悪意あるcommit_shaまたはdirectoriesパラメータをPrefectのGitRepositoryストレージクラスに渡します。これらの値は--セパレータまたは入力検証なしでgitサブプロセス呼び出しに挿入されるため、攻撃者は--upload-packなどの任意のgitフラグを注入して外部プログラムを実行し、ワーカーマシン上でRCEを実現できます。
影響を受けるシステム
Prefect (prefecthq/prefect) ≤ 3.6.23
緩和策
開示時に確認されたパッチ済みバージョンはありません。https://huntr.com/bounties/e2e88a0f-a8f6-49c9-94c5-e98dc385f07aおよびPrefect GitHubで修正を監視してください。デプロイメント作成権限を制限し、共有ワークプールを信頼できないユーザーに公開しないでください。