무슨 일이 있었나
CVE-2026-5366은 2026년 6월 20일(CVSS 9.9 Critical, CWE-94)에 게시되었습니다. Prefect 버전 3.6.23 이하는 ML/데이터 파이프라인 실행을 위해 코드를 가져오는 데 사용되는 GitRepository 저장소 클래스에서 사용자 제어 입력을 부적절하게 처리합니다. commit_sha 및 directories 매개변수가 검증이나 -- 인수 구분자 없이 git 서브프로세스 호출에 전달되어 git 플래그 주입(예: --upload-pack)이 가능하며, 이로 인해 git는 공격자 제어 외부 프로그램을 실행하게 됩니다. 영향을 받는 버전은 "최신 버전까지"로 표시되어 공시 시점에 업스트림 패치를 사용할 수 없었음을 나타냅니다.
왜 중요한가
Prefect는 널리 사용되는 MLOps 워크플로우 오케스트레이션 플랫폼입니다. 공유 또는 다중 테넌트 배포(엔터프라이즈 ML 플랫폼에서 흔한)에서 낮은 권한의 사용자(배포만 생성할 수 있는 사용자)는 워커 머신에 대한 임의의 코드 실행으로 에스컬레이션할 수 있으며, 이는 모든 ML 파이프라인 시크릿, 모델 아티팩트, 학습 데이터 및 워커에서 액세스 가능한 클라우드 자격증명을 손상시킬 수 있습니다.
공격 경로
배포 생성 권한이 있는 공격자가 악성 commit_sha 또는 directories 매개변수를 Prefect의 GitRepository 저장소 클래스에 전달합니다. 이러한 값들이 -- 구분자나 입력 검증 없이 git 서브프로세스 호출에 보간되기 때문에 공격자는 --upload-pack 같은 임의의 git 플래그를 주입하여 외부 프로그램을 실행하고 워커 머신에서 RCE를 달성할 수 있습니다.
영향받는 시스템
Prefect (prefecthq/prefect) ≤ 3.6.23
완화 방안
공시 시점에 패치된 버전이 확인되지 않았습니다. https://huntr.com/bounties/e2e88a0f-a8f6-49c9-94c5-e98dc385f07a 및 Prefect GitHub에서 수정 사항을 모니터링하세요. 배포 생성 권한을 제한하고 공유 작업 풀을 신뢰할 수 없는 사용자에게 노출시키지 않도록 하세요.