CVE-2026-35167

Name of the Vulnerable Software and Affected Versions Kedro versões anteriores a 1.3.0

Description O método get versioned path() interpola diretamente strings de versão fornecidas pelo usuário sem sanitização ao construir caminhos de sistema de arquivos. Isso permite que sequências de travessia como '../' escapem do diretório de conjunto de dados versionado pretendido. Isso é acessível através de catalog.load(..., version=...), DataCatalog.from config(..., load versions=...) e a CLI via kedro run --load-versions=dataset:../../../secrets. Um invasor que influenciar a string de versão pode forçar o Kedro a carregar arquivos fora do diretório pretendido, levando potencialmente a leituras não autorizadas de arquivos, envenenamento de dados ou acesso a dados entre locatários.

Recommendations Atualize para a versão 1.3.0 ou posterior do Kedro. Valide as strings de versão antes de passá-las para o DataCatalog ou a CLI, garantindo que elas não contenham segmentos .., separadores de caminho ou caminhos absolutos.