CVE-2026-7722PrefectHQ prefect 3.6.21及之前版本在Health Check API组件的/api/health端点中存在不当认证漏洞。该漏洞源于endswith函数的处理逻辑缺陷,攻击者无需用户交互即可远程利用此漏洞,导致认证机制失效。目前该漏洞利用细节已公开,建议受影响用户尽快升级至3.6.22版本以消除风险。
该漏洞位于PrefectHQ prefect的健康检查接口(/api/health),具体是由于endswith函数在处理特定输入时未正确实施身份验证逻辑。攻击者可以通过构造特制的网络请求,利用该函数的逻辑缺陷绕过正常的身份校验流程。由于攻击向量为网络(AV:N),且不需要用户权限(PR:N)和交互(UI:N),未经授权的攻击者可远程访问本应受保护的端点。虽然根据CVSS 3.1评分,该漏洞主要影响机密性(C:L),未直接影响完整性和可用性,但认证绕过可能允许攻击者获取系统敏感状态信息,为进一步的攻击创造条件。