CVE-2024-9701

Nome do Software Vulnerável e Versões Afetadas Kedro versão 0.19.8

Descrição Foi identificada uma vulnerabilidade de Execução Remota de Código (RCE), permitindo que um atacante execute código Python arbitrário por meio da desserialização de payloads maliciosos, o que pode levar potencialmente ao comprometimento total do sistema. A classe ShelveStore utiliza o módulo shelve do Python para gerenciar dados de sessão, o qual depende do pickle para serialização. A criação de um payload malicioso e seu armazenamento no arquivo shelve pode resultar em RCE quando o payload for desserializado.

Recomendações Para a versão 0.19.8, considere desativar o uso da classe ShelveStore até que um patch esteja disponível, ou restrinja o acesso ao arquivo shelve para minimizar o risco de exploração. Como solução temporária, evite utilizar o módulo pickle para serialização na classe ShelveStore.