PT-2026-30019 · Kedro · Kedro
Wernerina
·
Publicado
2026-04-03
·
Atualizado
2026-04-06
·
CVE-2026-35171
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Kedro versões anteriores a 1.3.0
Description
Kedro está suscetível a um problema crítico de Execução Remota de Código (RCE) decorrente do uso inseguro de
logging.config.dictConfig() com entrada controlada pelo usuário. O software permite definir o caminho do arquivo de configuração de registro através da variável de ambiente KEDRO LOGGING CONFIG, carregando-o sem validação adequada. O esquema de configuração de registro suporta uma chave especial (), que permite a instanciação de chamáveis arbitrários. Um invasor pode aproveitar isso para executar comandos de sistema arbitrários durante a inicialização do aplicativo. A vulnerabilidade é resolvida implementando a validação para rejeitar a chave de fábrica insegura () nas configurações de registro antes de passá-las para dictConfig().Recommendations
Atualize para a versão 1.3.0 ou posterior do Kedro.
Se a atualização não for possível imediatamente:
- Não permita que entradas não confiáveis controlem a variável de ambiente
KEDRO LOGGING CONFIG. - Restrinja o acesso de gravação aos arquivos de configuração de registro.
- Evite usar configurações de registro fornecidas externamente ou geradas dinamicamente.
- Valide manualmente o YAML de registro para garantir que ele não contenha a chave
().
Correção
RCE
Code Injection
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kedro