Plateforme
python
Composant
kedro
Corrigé dans
1.3.1
1.3.0
La CVE-2026-35171 est une vulnérabilité d'exécution de code à distance (RCE) critique dans kedro. Elle permet à un attaquant d'exécuter des commandes système arbitraires en exploitant une configuration de journalisation non sécurisée. Les versions affectées sont kedro ≤1.2.0. La vulnérabilité est corrigée dans la version 1.3.0.
CVE-2026-35171 est une vulnérabilité critique d'exécution de code à distance (RCE) dans Kedro, résultant d'une utilisation non sécurisée de logging.config.dictConfig() avec des entrées contrôlées par l'utilisateur. Kedro permet de définir le chemin du fichier de configuration de journalisation via la variable d'environnement KEDROLOGGINGCONFIG et de la charger sans validation. Le schéma de configuration de journalisation prend en charge la clé spéciale (), qui permet l'instanciation arbitraire d'appels. Un attaquant peut exploiter cela pour exécuter des commandes système arbitraires pendant l'exécution de l'application, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité du système.
Un attaquant pourrait exploiter cette vulnérabilité en définissant la variable d'environnement KEDROLOGGINGCONFIG pour qu'elle pointe vers un fichier de configuration de journalisation malveillant. Ce fichier pourrait contenir un appel arbitraire qui exécute des commandes système. Étant donné que Kedro charge cette configuration sans validation, l'appel serait exécuté avec les privilèges du processus Kedro. Cela pourrait permettre à un attaquant de prendre le contrôle du système ou d'accéder à des données sensibles. La facilité d'exploitation réside dans la simplicité de la manipulation de la variable d'environnement et l'absence de validation dans Kedro.
Statut de l'Exploit
EPSS
0.40% (percentile 60%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-35171 consiste à mettre à niveau Kedro vers la version 1.3.0 ou ultérieure. Cette version inclut une correction qui valide la configuration de journalisation et empêche l'exécution de code arbitraire. Si une mise à niveau immédiate n'est pas possible, il est recommandé d'éviter d'utiliser la variable d'environnement KEDROLOGGINGCONFIG et de configurer plutôt la journalisation directement dans le code de l'application. De plus, examinez et validez tous les fichiers de configuration de journalisation existants pour vous assurer qu'ils ne contiennent pas de configurations malveillantes. Surveiller les journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité d'exécution de code à distance (RCE) dans Kedro qui permet à un attaquant d'exécuter des commandes arbitraires sur le système.
Mettez à niveau Kedro vers la version 1.3.0 ou ultérieure. Si ce n'est pas possible, évitez d'utiliser KEDROLOGGINGCONFIG et configurez la journalisation directement dans le code.
Un attaquant pourrait prendre le contrôle du système, accéder à des données sensibles ou interrompre le service.
C'est une fonction Python utilisée pour configurer le système de journalisation. La vulnérabilité réside dans sa capacité à exécuter du code arbitraire si elle est utilisée avec des entrées non validées.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Il est recommandé d'examiner le code et la configuration de Kedro à la recherche de problèmes potentiels.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.