プラットフォーム
python
コンポーネント
kedro
修正版
1.3.1
1.3.0
CVE-2026-35167は、データサイエンスツールボックスKedroにおけるパストラバーサル脆弱性です。この脆弱性は、バージョン文字列のサニタイズが不十分なために発生し、攻撃者がファイルシステムを意図したディレクトリ外にトラバースすることを可能にします。影響を受けるバージョンは0.0.0から1.3.0未満です。バージョン1.3.0へのアップグレードで修正されています。
この脆弱性を悪用されると、攻撃者はKedroのバージョン管理されたデータセットディレクトリをエスケープし、ファイルシステム内の機密ファイルにアクセスする可能性があります。例えば、kedro run --load-versions=dataset:../../../secretsのようなコマンドを通じて、secretsファイルにアクセスできる可能性があります。攻撃者は、データセットのバージョン文字列に../のようなトラバーサルシーケンスを挿入することで、任意のファイルパスを構築できます。この脆弱性は、データ漏洩やシステムへの不正アクセスにつながる可能性があります。
この脆弱性は2026年4月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照してください。
Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.
• python / kedro:
import os
import kedro
def check_versioned_path(version):
try:
path = kedro.io.core._get_versioned_path('dataset', version=version)
# Check if the path is within the expected directory
if '..' in version:
print(f"Potential path traversal detected with version: {version}")
except Exception as e:
print(f"Error checking path: {e}")
# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.
disclosure
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Kedroをバージョン1.3.0にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、入力されたバージョン文字列を厳密に検証し、不正な文字(../など)を削除するカスタムサニタイズ関数を実装することを検討してください。WAF(Web Application Firewall)を使用している場合は、ファイルパスのトラバーサルを検出するルールを追加することも有効です。
Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-35167は、Kedroのバージョン0.0.0から1.3.0未満において、バージョン文字列のサニタイズが不十分なために発生するパストラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、ファイルシステム内の機密ファイルにアクセスする可能性があります。
Kedroのバージョン0.0.0から1.3.0未満を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン1.3.0にアップグレードすることで、この脆弱性を修正できます。
Kedroをバージョン1.3.0にアップグレードしてください。アップグレードがシステムに影響を与える場合は、入力されたバージョン文字列を厳密に検証し、不正な文字を削除するカスタムサニタイズ関数を実装することを検討してください。
現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。最新の脅威情報を常に監視してください。
Kedroの公式アドバイザリは、通常、Kedroの公式ウェブサイトまたはGitHubリポジトリで公開されます。CVE-2026-35167に関する情報を検索してください。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。