| Title | Prefect Technologies, Inc.のPrefectにおける不正な認証に関する脆弱性 |
|---|---|
| Summary | prefecthq/prefectのバージョン3.6.19において、ヘルスチェックプローブのURLパス免除を不適切に処理することに起因する認証バイパスの脆弱性が存在します。具体的には、認証ミドルウェアが'health'または'ready'で終わる任意のURLパスを認証チェックから免除しています。このため、攻撃者は名前が'health'または'ready'で終わるリソースを作成し、認証なしでアクセスできます。影響を受けるエンドポイントには、変数、フロー、ワークプール、ワークキュー、およびデプロイメントが含まれます。この脆弱性により、Prefect Variablesに保存されたAPIキーやデータベース認証情報などの機密情報に不正アクセスが行われる可能性があります。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 2, 2026, midnight |
| Registration Date | June 5, 2026, 10:47 a.m. |
| Last Update | June 5, 2026, 10:47 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
June 5, 2026, 10:47 a.m. |
| Summary | In version 3.6.19 of prefecthq/prefect, an authentication bypass vulnerability exists due to the improper handling of URL path exemptions for health check probes. Specifically, the authentication middleware exempts any URL path ending with 'health' or 'ready' from authentication checks. This allows an attacker to create resources with names ending in 'health' or 'ready' and access them without authentication. Affected endpoints include those for variables, flows, work pools, work queues, and deployments. This vulnerability can lead to unauthorized access to sensitive information, such as API keys and database credentials, stored in Prefect Variables. |
|---|---|
| Publication Date | June 2, 2026, 6:16 p.m. |
| Registration Date | June 3, 2026, 4:17 a.m. |
| Last Update | June 4, 2026, 2:08 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:prefect:prefect:*:*:*:*:*:*:*:* | 3.6.22 | ||||