CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-9701

Critical
Published: Translated: NVD NIST

Summary

Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym przejęcie kontroli nad systemem poprzez wykonanie złośliwego kodu. Może to prowadzić do utraty danych oraz naruszenia integralności systemu.

Recommendation

Zaleca się aktualizację do najnowszej wersji Kedro, aby usunąć tę podatność. Dodatkowo, należy monitorować i zabezpieczać pliki shelve przed nieautoryzowanym dostępem.

Original NVD description (English source)

A Remote Code Execution (RCE) vulnerability has been identified in the Kedro ShelveStore class (version 0.19.8). This vulnerability allows an attacker to execute arbitrary Python code via deserialization of malicious payloads, potentially leading to a full system compromise. The ShelveStore class uses Python's shelve module to manage session data, which relies on pickle for serialization. Crafting a malicious payload and storing it in the shelve file can lead to RCE when the payload is deserialized.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS