Plataforma
python
Componente
kedro
Corrigido em
1.3.1
1.3.0
A vulnerabilidade CVE-2026-35171 é uma falha crítica de Execução Remota de Código (RCE) no Kedro, causada pelo uso inseguro de logging.config.dictConfig() com entrada controlada pelo usuário. Um atacante pode explorar isso para executar comandos de sistema arbitrários durante a inicialização do aplicativo. Afeta versões do Kedro ≤1.2.0. A vulnerabilidade foi corrigida na versão 1.3.0.
CVE-2026-35171 é uma vulnerabilidade crítica de execução remota de código (RCE) no Kedro, causada pelo uso inseguro de logging.config.dictConfig() com entrada controlada pelo usuário. O Kedro permite que o caminho do arquivo de configuração de registro seja definido através da variável de ambiente KEDROLOGGINGCONFIG e o carrega sem validação. O esquema de configuração de registro suporta a chave especial (), que permite a instanciação arbitrária de chamadas. Um atacante pode explorar isso para executar comandos arbitrários do sistema durante a execução do aplicativo, comprometendo potencialmente a confidencialidade, integridade e disponibilidade do sistema.
Um atacante pode explorar esta vulnerabilidade configurando a variável de ambiente KEDROLOGGINGCONFIG para apontar para um arquivo de configuração de registro malicioso. Este arquivo de configuração pode conter uma chamada arbitrária que execute comandos do sistema. Como o Kedro carrega esta configuração sem validação, a chamada seria executada com os privilégios do processo Kedro. Isso pode permitir que um atacante assuma o controle do sistema ou acesse dados confidenciais. A facilidade de exploração reside na simplicidade de manipular a variável de ambiente e na falta de validação no Kedro.
Status do Exploit
EPSS
0.40% (percentil 60%)
CISA SSVC
Vetor CVSS
A mitigação principal para CVE-2026-35171 é atualizar o Kedro para a versão 1.3.0 ou posterior. Esta versão inclui uma correção que valida a configuração de registro e impede a execução de código arbitrário. Se não for possível atualizar imediatamente, recomenda-se evitar o uso da variável de ambiente KEDROLOGGINGCONFIG e, em vez disso, configurar o registro diretamente no código do aplicativo. Além disso, recomenda-se revisar e validar quaisquer arquivos de configuração de registro existentes para garantir que não contenham configurações maliciosas. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de execução remota de código (RCE) no Kedro que permite a um atacante executar comandos arbitrários no sistema.
Atualize o Kedro para a versão 1.3.0 ou posterior. Se não for possível, evite usar KEDROLOGGINGCONFIG e configure o registro diretamente no código.
Um atacante pode assumir o controle do sistema, acessar dados confidenciais ou interromper o serviço.
É uma função Python usada para configurar o sistema de registro. A vulnerabilidade reside em sua capacidade de executar código arbitrário se usado com entrada não validada.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. Recomenda-se revisar o código e a configuração do Kedro em busca de possíveis problemas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.