प्लेटफ़ॉर्म
python
घटक
kedro
में ठीक किया गया
1.3.1
1.3.0
CVE-2026-35171, Kedro में एक गंभीर रिमोट कोड निष्पादन (RCE) भेद्यता है। यह भेद्यता उपयोगकर्ता-नियंत्रित इनपुट के साथ असुरक्षित logging.config.dictConfig() के उपयोग के कारण होती है, जिससे हमलावर मनमाने सिस्टम कमांड निष्पादित कर सकते हैं। यह भेद्यता Kedro के 1.2.0 या उससे पहले के संस्करणों को प्रभावित करती है और संस्करण 1.3.0 में ठीक कर दी गई है।
CVE-2026-35171 केद्रो में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है, जो उपयोगकर्ता-नियंत्रित इनपुट के साथ logging.config.dictConfig() के असुरक्षित उपयोग के कारण है। केद्रो KEDROLOGGINGCONFIG पर्यावरण चर के माध्यम से लॉग कॉन्फ़िगरेशन फ़ाइल पथ को अनुमति देता है और इसे बिना सत्यापन के लोड करता है। लॉग कॉन्फ़िगरेशन स्कीमा विशेष कुंजी () का समर्थन करता है, जो मनमाना कॉल करने योग्य इंस्टेंटियेशन को सक्षम करता है। एक हमलावर इसका उपयोग एप्लिकेशन निष्पादन के दौरान मनमाना सिस्टम कमांड निष्पादित करने के लिए कर सकता है, जिससे सिस्टम की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है।
एक हमलावर KEDROLOGGINGCONFIG पर्यावरण चर को दुर्भावनापूर्ण लॉग कॉन्फ़िगरेशन फ़ाइल की ओर इंगित करके इस भेद्यता का फायदा उठा सकता है। इस फ़ाइल में एक मनमाना कॉल शामिल हो सकता है जो सिस्टम कमांड निष्पादित करता है। चूंकि केद्रो इस कॉन्फ़िगरेशन को बिना सत्यापन के लोड करता है, इसलिए केद्रो प्रक्रिया के विशेषाधिकारों के साथ कॉल निष्पादित की जाएगी। यह एक हमलावर को सिस्टम पर नियंत्रण प्राप्त करने या संवेदनशील डेटा तक पहुंचने की अनुमति दे सकता है। शोषण की आसानी पर्यावरण चर में हेरफेर की सादगी और केद्रो में सत्यापन की कमी में निहित है।
एक्सप्लॉइट स्थिति
EPSS
0.40% (60% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35171 के लिए प्राथमिक शमन केद्रो को संस्करण 1.3.0 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो लॉग कॉन्फ़िगरेशन को मान्य करता है और मनमाना कोड निष्पादन को रोकता है। यदि तत्काल अपग्रेड संभव नहीं है, तो KEDROLOGGINGCONFIG पर्यावरण चर का उपयोग करने से बचना और इसके बजाय एप्लिकेशन कोड के भीतर सीधे लॉग कॉन्फ़िगर करना उचित है। इसके अतिरिक्त, किसी भी मौजूदा लॉग कॉन्फ़िगरेशन फ़ाइलों की समीक्षा और सत्यापन करना सुनिश्चित करें कि उनमें दुर्भावनापूर्ण कॉन्फ़िगरेशन शामिल नहीं हैं। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में भी मदद कर सकती है।
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह केद्रो में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो एक हमलावर को सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है।
केद्रो को संस्करण 1.3.0 या बाद के संस्करण में अपग्रेड करें। यदि यह संभव नहीं है, तो KEDROLOGGINGCONFIG का उपयोग करने से बचें और कोड में सीधे लॉग कॉन्फ़िगर करें।
एक हमलावर सिस्टम पर नियंत्रण प्राप्त कर सकता है, संवेदनशील डेटा तक पहुंच सकता है या सेवा को बाधित कर सकता है।
यह एक Python फ़ंक्शन है जिसका उपयोग लॉगिंग सिस्टम को कॉन्फ़िगर करने के लिए किया जाता है। भेद्यता इसकी क्षमता में निहित है जब यह अनियंत्रित इनपुट के साथ उपयोग किया जाता है तो मनमाना कोड निष्पादित किया जा सकता है।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। केद्रो कोड और कॉन्फ़िगरेशन की समीक्षा करके संभावित समस्याओं की तलाश करने की सिफारिश की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।