CVE-2026-3515 in prefectinformación

Resumen

por VulDB • 2026-05-24

Una vulnerabilidad en el bloque `GitHubRepository` de la integración `prefect-github` en Prefect versión 3.6.18 permite a un atacante inyectar opciones arbitrarias de la línea de comandos de git a través del campo `reference`. El campo `reference` se concatena directamente en una cadena de comando `git clone` sin una sanitización adecuada y luego se analiza mediante `shlex.split()`. Esto permite la inyección de opciones como `-c`, lo que podría llevar a un Server-Side Request Forgery (SSRF), robo de credenciales o ejecución remota de código (RCE). La vulnerabilidad afecta tanto a los métodos `aget_directory()` como `get_directory()` en `src/integrations/prefect-github/prefect_github/repository.py`. Este problema no afecta a las integraciones de GitLab y BitBucket, que utilizan un enfoque más seguro de construcción de comandos basado en listas.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

@huntr Ai

Reservar

2026-03-04

Divulgación

2026-05-24

Moderación

aceptado

Artículo

VDB-365368

CPE

listo

EPSS

0.00106

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3515
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3515
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3515/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!