Plateforme
python
Composant
kedro
Corrigé dans
1.3.1
1.3.0
La vulnérabilité CVE-2026-35167 est une faille de traversal de chemin (Path Traversal) affectant Kedro, un outil pour la science des données. Cette faille permet à un attaquant d'accéder à des fichiers en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle concerne les versions de Kedro comprises entre 0.0.0 et 1.2.9 incluses. Une version corrigée, 1.3.0, est désormais disponible.
L'exploitation de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers, en manipulant les chaînes de version utilisées par la fonction getversionedpath(). L'attaquant peut ainsi accéder à des informations sensibles telles que des clés API, des mots de passe ou des données confidentielles stockées dans des fichiers situés en dehors du répertoire prévu. L'accès est possible via plusieurs points d'entrée, notamment catalog.load(..., version=...), DataCatalog.fromconfig(..., load_versions=...) et via l'interface en ligne de commande (CLI) avec kedro run --load-versions=dataset:../../../secrets. Cette vulnérabilité est particulièrement préoccupante dans les environnements de production où Kedro est utilisé pour gérer des pipelines de données sensibles.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Aucune preuve d'exploitation active n'a été rapportée à ce jour. Il n'y a pas d'entrée dans le KEV (Known Exploited Vulnerabilities) de CISA. Un proof-of-concept (PoC) public pourrait être développé, ce qui augmenterait le risque d'exploitation.
Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.
• python / kedro:
import os
import kedro
def check_versioned_path(version):
try:
path = kedro.io.core._get_versioned_path('dataset', version=version)
# Check if the path is within the expected directory
if '..' in version:
print(f"Potential path traversal detected with version: {version}")
except Exception as e:
print(f"Error checking path: {e}")
# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour Kedro vers la version 1.3.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en mettant en place des mesures de sécurité supplémentaires. Il est fortement recommandé de restreindre les permissions d'accès au répertoire de travail de Kedro. En outre, il est possible de valider et de désinfecter les chaînes de version fournies par l'utilisateur avant de les utiliser dans la construction des chemins de fichiers. Enfin, surveillez attentivement les journaux d'accès pour détecter toute tentative d'accès non autorisé aux fichiers.
Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35167 is a path traversal vulnerability affecting Kedro data pipelines, allowing attackers to access files outside intended directories by manipulating version strings.
You are affected if you are using Kedro versions 0.0.0 through 1.2.9. Upgrade to version 1.3.0 or later to mitigate the vulnerability.
Upgrade Kedro to version 1.3.0 or later. As a temporary workaround, implement input validation on version strings and restrict access to the Kedro environment.
As of now, there are no known active exploits for CVE-2026-35167, but the probability of exploitation could increase with wider awareness.
Refer to the Kedro project's official security advisories and release notes for detailed information and updates regarding CVE-2026-35167.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.