CVE-2026-5366

Nome do Software Vulnerável e Versões Afetadas Prefect versão 3.6.23

Description A execução remota de código é possível devido ao manuseio inadequado de entradas controladas pelo usuário na classe de armazenamento GitRepository. O parâmetro commit sha é passado para comandos git sem validação ou o uso de um separador -- para distinguir a entrada do usuário de flags do git. Isso permite a injeção de flags arbitrárias do git, como --upload-pack, para executar programas externos. Além disso, o parâmetro directories pode ser explorado para injetar flags do git durante operações de sparse-checkout. Usuários com permissões de criação de implantação podem utilizar essas falhas para executar comandos arbitrários em máquinas worker, o que pode comprometer pools de trabalho compartilhados em ambientes multi-tenant.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.