Katalog CVE

CVE-2024-9701

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym przejęcie kontroli nad systemem poprzez wykonanie złośliwego kodu. Może to prowadzić do utraty danych oraz naruszenia integralności systemu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Kedro, aby usunąć tę podatność. Dodatkowo, należy monitorować i zabezpieczać pliki shelve przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

A Remote Code Execution (RCE) vulnerability has been identified in the Kedro ShelveStore class (version 0.19.8). This vulnerability allows an attacker to execute arbitrary Python code via deserialization of malicious payloads, potentially leading to a full system compromise. The ShelveStore class uses Python's shelve module to manage session data, which relies on pickle for serialization. Crafting a malicious payload and storing it in the shelve file can lead to RCE when the payload is deserialized.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS