プラットフォーム
python
コンポーネント
kedro
修正版
1.3.1
1.3.0
CVE-2026-35171は、kedroのバージョン1.2.0以下に存在する、リモートコード実行(RCE)の脆弱性です。この脆弱性は、攻撃者がKEDROLOGGINGCONFIG環境変数を介して、任意のシステムコマンドを実行できる可能性があります。影響を受けるバージョンは1.2.0以下で、バージョン1.3.0で修正されました。
CVE-2026-35171 は、Kedro におけるリモートコード実行 (RCE) の脆弱性です。これは、ユーザーが制御する入力に対する logging.config.dictConfig() の不安全な使用が原因です。Kedro は、KEDROLOGGINGCONFIG 環境変数を通じてログ構成ファイルのパスを設定し、検証なしにロードします。ログ構成スキーマは特殊キー () をサポートしており、これにより任意の呼び出し可能なインスタンス化が可能になります。攻撃者は、これを利用してアプリケーション実行中に任意のシステムコマンドを実行し、システム機密性、完全性、および可用性を損なう可能性があります。
攻撃者は、KEDROLOGGINGCONFIG 環境変数を悪意のあるログ構成ファイルへのパスに設定することで、この脆弱性を悪用する可能性があります。このファイルには、システムコマンドを実行する任意の呼び出しが含まれている可能性があります。Kedro が検証なしにこの構成をロードするため、呼び出しは Kedro プロセスの権限で実行されます。これにより、攻撃者はシステムを制御したり、機密データにアクセスしたりする可能性があります。悪用の容易さは、環境変数の操作の単純さと Kedro 内の検証の欠如にあります。
エクスプロイト状況
EPSS
0.40% (60% パーセンタイル)
CISA SSVC
CVE-2026-35171 の主な軽減策は、Kedro をバージョン 1.3.0 以降にアップグレードすることです。このバージョンには、ログ構成を検証し、任意のコード実行を防ぐ修正が含まれています。直ちにアップグレードできない場合は、KEDROLOGGINGCONFIG 環境変数の使用を避け、代わりにアプリケーションコード内で直接ログを構成することをお勧めします。さらに、既存のログ構成ファイルを確認および検証して、悪意のある構成が含まれていないことを確認してください。システムログを不審なアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者がシステム上で任意のコマンドを実行できる Kedro のリモートコード実行 (RCE) 脆弱性です。
Kedro をバージョン 1.3.0 以降にアップグレードしてください。それが不可能な場合は、KEDROLOGGINGCONFIG の使用を避け、コード内で直接ログを構成してください。
攻撃者はシステムを制御したり、機密データにアクセスしたり、サービスを中断したりする可能性があります。
これは、ロギングシステムを設定するために使用される Python 関数です。脆弱性は、検証されていない入力で使用される場合に任意のコードを実行できることにあります。
現在、この脆弱性を検出するための特定のツールはありません。Kedro のコードと構成を潜在的な問題について確認することをお勧めします。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。