Plataforma
python
Componente
kedro
Corrigido em
1.3.1
1.3.0
O CVE-2026-35167 é uma vulnerabilidade de Path Traversal descoberta no Kedro, uma ferramenta para ciência de dados. Essa falha permite que um atacante escape do diretório de dados versionado, potencialmente acessando arquivos sensíveis no sistema. Versões afetadas incluem todas as versões anteriores à 1.3.0. A correção foi lançada na versão 1.3.0.
A vulnerabilidade de Path Traversal no Kedro permite que um atacante manipule a construção de caminhos de arquivos, inserindo sequências de traversal como ../. Ao explorar essa falha, um invasor pode acessar arquivos fora do diretório de dados versionado pretendido, potencialmente expondo informações confidenciais, como chaves de API, senhas ou dados de configuração. O ataque pode ser iniciado através de múltiplos pontos de entrada, incluindo catalog.load(..., version=...), DataCatalog.fromconfig(..., loadversions=...) e através da interface de linha de comando (CLI) com kedro run --load-versions=dataset:../../../secrets. O impacto potencial é a exposição de dados sensíveis e a possível comprometimento do sistema.
O CVE-2026-35167 foi publicado em 2026-04-06. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza da vulnerabilidade (Path Traversal) sugere que um PoC pode ser desenvolvido relativamente facilmente.
Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.
• python / kedro:
import os
import kedro
def check_versioned_path(version):
try:
path = kedro.io.core._get_versioned_path('dataset', version=version)
# Check if the path is within the expected directory
if '..' in version:
print(f"Potential path traversal detected with version: {version}")
except Exception as e:
print(f"Error checking path: {e}")
# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-35167 é atualizar o Kedro para a versão 1.3.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de dados versionado e implementar controles de validação de entrada mais rigorosos para evitar a injeção de sequências de traversal. Além disso, configure um Web Application Firewall (WAF) para bloquear solicitações com padrões de traversal suspeitos. Monitore os logs do sistema em busca de tentativas de acesso não autorizado a arquivos.
Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35167 is a path traversal vulnerability affecting Kedro data pipelines, allowing attackers to access files outside intended directories by manipulating version strings.
You are affected if you are using Kedro versions 0.0.0 through 1.2.9. Upgrade to version 1.3.0 or later to mitigate the vulnerability.
Upgrade Kedro to version 1.3.0 or later. As a temporary workaround, implement input validation on version strings and restrict access to the Kedro environment.
As of now, there are no known active exploits for CVE-2026-35167, but the probability of exploitation could increase with wider awareness.
Refer to the Kedro project's official security advisories and release notes for detailed information and updates regarding CVE-2026-35167.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.