Kedro · Kedro · CVE-2026-35167
Name of the Vulnerable Software and Affected Versions
Kedro versões anteriores a 1.3.0
Description
O método ` get versioned path()` interpola diretamente strings de versão fornecidas pelo usuário sem sanitização ao construir caminhos de sistema de arquivos. Isso permite que sequências de travessia como '../' escapem do diretório de conjunto de dados versionado pretendido. Isso é acessível através de `catalog.load(..., version=...)`, `DataCatalog.from config(..., load versions=...)` e a CLI via `kedro run --load-versions=dataset:../../../secrets`. Um invasor que influenciar a string de versão pode forçar o Kedro a carregar arquivos fora do diretório pretendido, levando potencialmente a leituras não autorizadas de arquivos, envenenamento de dados ou acesso a dados entre locatários.
Recommendations
Atualize para a versão 1.3.0 ou posterior do Kedro. Valide as strings de versão antes de passá-las para o DataCatalog ou a CLI, garantindo que elas não contenham segmentos `..`, separadores de caminho ou caminhos absolutos.