Platform
python
Component
kedro
Opgelost in
1.3.1
1.3.0
CVE-2026-35171 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in Kedro, veroorzaakt door het onveilig gebruik van logging.config.dictConfig() met input van de gebruiker. Een aanvaller kan willekeurige systeemcommando's uitvoeren tijdens het opstarten van de applicatie. Deze kwetsbaarheid treft versies ≤1.2.0. De kwetsbaarheid is verholpen in versie 1.3.0.
CVE-2026-35171 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in Kedro, veroorzaakt door het onveilige gebruik van logging.config.dictConfig() met gebruikersgestuurde invoer. Kedro staat toe dat het pad naar het logconfiguratiebestand wordt ingesteld via de omgevingsvariabele KEDROLOGGINGCONFIG en laadt deze zonder validatie. Het logconfiguratieschema ondersteunt de speciale sleutel (), die willekeurige aanroepinstanties mogelijk maakt. Een aanvaller kan dit uitbuiten om willekeurige systeemcommando's uit te voeren tijdens de applicatie-uitvoering, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem mogelijk in gevaar komt.
Een aanvaller kan deze kwetsbaarheid uitbuiten door de omgevingsvariabele KEDROLOGGINGCONFIG in te stellen om te verwijzen naar een kwaadaardig logconfiguratiebestand. Dit bestand kan een willekeurige aanroep bevatten die systeemcommando's uitvoert. Aangezien Kedro deze configuratie zonder validatie laadt, wordt de aanroep uitgevoerd met de rechten van het Kedro-proces. Dit kan een aanvaller in staat stellen de controle over het systeem over te nemen of toegang te krijgen tot gevoelige gegevens. De eenvoud van de exploitatie ligt in de eenvoud van het manipuleren van de omgevingsvariabele en het ontbreken van validatie in Kedro.
Exploit Status
EPSS
0.40% (60% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-35171 is het upgraden van Kedro naar versie 1.3.0 of hoger. Deze versie bevat een correctie die de logconfiguratie valideert en de uitvoering van willekeurige code voorkomt. Als een onmiddellijke upgrade niet mogelijk is, wordt aanbevolen om het gebruik van de omgevingsvariabele KEDROLOGGINGCONFIG te vermijden en in plaats daarvan de logging direct in de applicatiecode te configureren. Daarnaast moeten alle bestaande logconfiguratiebestanden worden beoordeeld en gevalideerd om ervoor te zorgen dat ze geen kwaadaardige configuraties bevatten. Het monitoren van systeemlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a remote code execution (RCE) vulnerability in Kedro that allows an attacker to execute arbitrary commands on the system.
Upgrade Kedro to version 1.3.0 or later. If that's not possible, avoid using KEDROLOGGINGCONFIG and configure logging directly in the code.
An attacker could gain control of the system, access sensitive data, or disrupt service.
It's a Python function used to configure the logging system. The vulnerability lies in its ability to execute arbitrary code if used with unvalidated input.
Currently, there are no specific tools to detect this vulnerability. It's recommended to review Kedro code and configuration for potential issues.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.