Plattform
python
Komponente
kedro
Behoben in
1.3.1
1.3.0
CVE-2026-35171 is a critical Remote Code Execution (RCE) vulnerability affecting Kedro versions 1.2.0 and earlier. This vulnerability stems from the unsafe use of logging.config.dictConfig() with user-controlled input, allowing attackers to execute arbitrary system commands during application startup. The vulnerability is fixed in Kedro version 1.3.0 by introducing validation to reject unsafe configurations.
CVE-2026-35171 ist eine kritische Remote Code Execution (RCE) Schwachstelle in Kedro, die durch die unsichere Verwendung von logging.config.dictConfig() mit benutzergesteuerten Eingaben verursacht wird. Kedro erlaubt, den Pfad der Protokollierungskonfigurationsdatei über die Umgebungsvariable KEDROLOGGINGCONFIG festzulegen und lädt sie ohne Validierung. Das Protokollierungskonfigurationsschema unterstützt den speziellen Schlüssel (), der die beliebige Instanziierung von Aufrufen ermöglicht. Ein Angreifer kann dies ausnutzen, um während der Anwendungs Ausführung beliebige Systembefehle auszuführen, wodurch potenziell die Vertraulichkeit, Integrität und Verfügbarkeit des Systems gefährdet werden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er die Umgebungsvariable KEDROLOGGINGCONFIG so einstellt, dass sie auf eine bösartige Protokollierungskonfigurationsdatei verweist. Diese Datei könnte einen beliebigen Aufruf enthalten, der Systembefehle ausführt. Da Kedro diese Konfiguration ohne Validierung lädt, würde der Aufruf mit den Berechtigungen des Kedro-Prozesses ausgeführt. Dies könnte es einem Angreifer ermöglichen, die Kontrolle über das System zu übernehmen oder auf sensible Daten zuzugreifen. Die einfache Ausnutzbarkeit liegt in der Einfachheit der Manipulation der Umgebungsvariable und dem Fehlen der Validierung in Kedro.
Exploit-Status
EPSS
0.40% (60% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abmilderung für CVE-2026-35171 ist das Upgrade von Kedro auf Version 1.3.0 oder höher. Diese Version enthält eine Korrektur, die die Protokollierungskonfiguration validiert und die Ausführung von beliebigem Code verhindert. Wenn ein sofortiges Upgrade nicht möglich ist, wird empfohlen, die Verwendung der Umgebungsvariable KEDROLOGGINGCONFIG zu vermeiden und stattdessen die Protokollierung direkt im Anwendungscode zu konfigurieren. Darüber hinaus sollten alle vorhandenen Protokollierungskonfigurationsdateien überprüft und validiert werden, um sicherzustellen, dass sie keine bösartigen Konfigurationen enthalten. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Remote Code Execution (RCE) Schwachstelle in Kedro, die es einem Angreifer ermöglicht, beliebige Befehle auf dem System auszuführen.
Aktualisieren Sie Kedro auf Version 1.3.0 oder höher. Wenn dies nicht möglich ist, vermeiden Sie die Verwendung von KEDROLOGGINGCONFIG und konfigurieren Sie die Protokollierung direkt im Code.
Ein Angreifer könnte die Kontrolle über das System übernehmen, auf sensible Daten zugreifen oder den Dienst unterbrechen.
Es ist eine Python-Funktion, die zur Konfiguration des Protokollierungssystems verwendet wird. Die Schwachstelle liegt in ihrer Fähigkeit, beliebigen Code auszuführen, wenn sie mit nicht validierten Eingaben verwendet wird.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Es wird empfohlen, den Kedro-Code und die Konfiguration auf potenzielle Probleme zu überprüfen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.