Platform
python
Component
kedro
Opgelost in
1.3.1
1.3.0
CVE-2026-35167 beschrijft een Path Traversal kwetsbaarheid in Kedro, een toolbox voor productie-klare data science projecten. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot bestanden buiten de beoogde dataset directory door versie strings te manipuleren. De kwetsbaarheid treedt op in versies van Kedro tussen 0.0.0 en 1.2.9, en is verholpen in versie 1.3.0.
De Path Traversal kwetsbaarheid in Kedro maakt het mogelijk voor een aanvaller om bestanden buiten de beoogde dataset directory te benaderen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie, zoals configuratiebestanden, API-sleutels of andere vertrouwelijke gegevens. De kwetsbaarheid is bereikbaar via verschillende entry points, waaronder catalog.load(..., version=...), DataCatalog.fromconfig(..., loadversions=...) en via de CLI met kedro run --load-versions=dataset:../../../secrets. Een succesvolle exploitatie kan resulteren in data-exfiltratie, compromittering van de server en mogelijk verdere toegang tot het onderliggende systeem.
Op het moment van publicatie (2026-04-06) is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-35167. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico, maar er is geen bevestigde exploitatie in de praktijk.
Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.
• python / kedro:
import os
import kedro
def check_versioned_path(version):
try:
path = kedro.io.core._get_versioned_path('dataset', version=version)
# Check if the path is within the expected directory
if '..' in version:
print(f"Potential path traversal detected with version: {version}")
except Exception as e:
print(f"Error checking path: {e}")
# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35167 is het upgraden naar Kedro versie 1.3.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van input validatie op de versie strings die aan de getversioned_path() methode worden doorgegeven. Dit kan worden gedaan door een whitelist van toegestane karakters te gebruiken of door pad traversal sequences (zoals ../) te filteren. Het is ook aan te raden om de toegang tot de Kedro applicatie te beperken en de configuratie te beveiligen om de impact van een succesvolle exploitatie te minimaliseren.
Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35167 is a path traversal vulnerability affecting Kedro data pipelines, allowing attackers to access files outside intended directories by manipulating version strings.
You are affected if you are using Kedro versions 0.0.0 through 1.2.9. Upgrade to version 1.3.0 or later to mitigate the vulnerability.
Upgrade Kedro to version 1.3.0 or later. As a temporary workaround, implement input validation on version strings and restrict access to the Kedro environment.
As of now, there are no known active exploits for CVE-2026-35167, but the probability of exploitation could increase with wider awareness.
Refer to the Kedro project's official security advisories and release notes for detailed information and updates regarding CVE-2026-35167.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.