Katalog CVE

CVE-2026-35171

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Kedro to narzędzie do produkcyjnej analizy danych. W wersjach przed 1.3.0, Kedro pozwalał na ustawienie ścieżki do pliku konfiguracyjnego logowania za pomocą zmiennej środowiskowej KEDRO_LOGGING_CONFIG i ładował go bez walidacji, co umożliwiało wykonanie dowolnych poleceń systemowych podczas uruchamiania aplikacji.

Ocena ryzyka

Ta podatność stanowi krytyczne zagrożenie dla bezpieczeństwa, umożliwiając zdalne wykonanie kodu (RCE) przez atakującego, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Kedro do wersji 1.3.0 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji dla plików konfiguracyjnych.

Oryginalny opis (angielski, źródło NVD)

Kedro is a toolbox for production-ready data science. Prior to 1.3.0, Kedro allows the logging configuration file path to be set via the KEDRO_LOGGING_CONFIG environment variable and loads it without validation. The logging configuration schema supports the special () key, which enables arbitrary callable instantiation. An attacker can exploit this to execute arbitrary system commands during application startup. This is a critical remote code execution (RCE) vulnerability caused by unsafe use of logging.config.dictConfig() with user-controlled input. This vulnerability is fixed in 1.3.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS