CVE-2026-3514

Nome do Software Vulnerável e Versões Afetadas prefecthq/prefect versão 3.6.19

Description Ocorre uma falha de bypass de autenticação devido ao manuseio inadequado de isenções de caminho de URL para sondas de verificação de integridade (health check). O middleware de autenticação isenta qualquer caminho de URL que termine em 'health' ou 'ready' das verificações de autenticação. Isso permite que um invasor crie recursos com nomes terminados em 'health' ou 'ready' para acessá-los sem autenticação. Os endpoints afetados incluem aqueles para variáveis, fluxos, pools de trabalho, filas de trabalho e implantações. Isso pode levar ao acesso não autorizado a informações sensíveis, como chaves de API e credenciais de banco de dados, armazenadas nas Variáveis do Prefect.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.