प्लेटफ़ॉर्म
python
घटक
kedro
में ठीक किया गया
1.3.1
1.3.0
CVE-2026-35167 Kedro में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे डेटा का संभावित समझौता हो सकता है। यह भेद्यता Kedro के संस्करण 0.0.0 से कम 1.3.0 तक प्रभावित करती है। संस्करण 1.3.0 में इस समस्या का समाधान किया गया है।
इस भेद्यता का फायदा उठाकर, एक हमलावर Kedro एप्लिकेशन के भीतर संवेदनशील फ़ाइलों तक पहुँच सकता है। getversionedpath() विधि उपयोगकर्ता द्वारा प्रदान किए गए संस्करण स्ट्रिंग को बिना किसी सैनिटाइजेशन के सीधे फ़ाइल सिस्टम पथों में इंटरपोलेट करती है। हमलावर पथ पारगमन अनुक्रमों (जैसे ../) का उपयोग करके इच्छित संस्करणित डेटासेट निर्देशिका से बाहर निकल सकते हैं। यह भेद्यता catalog.load(), DataCatalog.fromconfig() और CLI के माध्यम से kedro run --load-versions=dataset:../../../secrets जैसे कई प्रवेश बिंदुओं के माध्यम से शोषण योग्य है। एक सफल शोषण से गोपनीय डेटा का प्रकटीकरण, संशोधन या हटाना हो सकता है, जिससे डेटा अखंडता और गोपनीयता से समझौता हो सकता है।
CVE-2026-35167 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना मध्यम है। यह भेद्यता 2026-04-06 को प्रकाशित हुई थी।
Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.
• python / kedro:
import os
import kedro
def check_versioned_path(version):
try:
path = kedro.io.core._get_versioned_path('dataset', version=version)
# Check if the path is within the expected directory
if '..' in version:
print(f"Potential path traversal detected with version: {version}")
except Exception as e:
print(f"Error checking path: {e}")
# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Kedro को संस्करण 1.3.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम एक्सेस को प्रतिबंधित करने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और सैनिटाइजेशन को लागू करने से पथ पारगमन हमलों को रोकने में मदद मिल सकती है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, संस्करण 1.3.0 या बाद के संस्करण में एप्लिकेशन को चलाकर और यह सुनिश्चित करके कि संवेदनशील फ़ाइलों तक अनधिकृत पहुँच संभव नहीं है।
Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35167 Kedro के संस्करण 0.0.0 से कम 1.3.0 में एक पथ पारगमन भेद्यता है, जो हमलावरों को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Kedro के संस्करण 0.0.0 से कम 1.3.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Kedro को संस्करण 1.3.0 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों को लागू करें और इनपुट सत्यापन को बढ़ाएँ।
CVE-2026-35167 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना मध्यम है।
आधिकारिक Kedro सलाहकार के लिए Kedro की वेबसाइट या GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।