CVE-2026-35492

Name of the Vulnerable Software and Affected Versions Kedro-Datasets versões anteriores a 9.3.0

Description O plugin Kedro-Datasets é suscetível a um problema de travessia de caminho no componente PartitionedDataset. Os IDs de partição eram concatenados diretamente com o caminho base do conjunto de dados sem validação adequada. Uma entrada maliciosa contendo componentes '..' dentro de um ID de partição poderia permitir que um invasor gravasse arquivos fora do diretório do conjunto de dados pretendido, potencialmente sobrescrevendo arquivos arbitrários no sistema de arquivos. Isso afeta os usuários do PartitionedDataset com qualquer backend de armazenamento (sistema de arquivos local, S3, GCS, etc.).

Recommendations Atualize para a versão 9.3.0 ou posterior do kedro-datasets. Como medida temporária, valide os IDs de partição antes de passá-los para o PartitionedDataset, garantindo que eles não contenham componentes de caminho '..'.