CVE-2024-12215

Nome do Software Vulnerável e Versões Afetadas kedro-org/kedro versão 0.19.8

Descrição A vulnerabilidade permite a execução remota de código (RCE) através da execução de comandos arbitrários na máquina da vítima. Isso é possível devido à função project wheel metadata() presente no caminho de código da função de API pull package(), a qual pode executar o arquivo setup.py dentro de um arquivo tar.

Recomendações Para a versão 0.19.8, considere desativar a função de API pull package() até que um patch esteja disponível para prevenir a execução remota de código. Restrinja o acesso à função project wheel metadata() para minimizar o risco de exploração. Evite utilizar a função pull package() para baixar e extrair micropacotes da Internet até que o problema seja resolvido.