Kedro tem Execução Arbitrária de Código via Configuração de Logging Maliciosa

### Impacto Esta é uma vulnerabilidade **CRITICAL de Execução Remota de Código (RCE)** causada pelo uso inseguro de `logging.config.dictConfig()` com entrada controlada pelo usuário. Kedro permite que o caminho do arquivo de configuração de logging seja definido através da variável de ambiente `KEDRO_LOGGING_CONFIG` e o carrega sem validação. O esquema de configuração de logging suporta a chave especial `()`, que permite a instanciação arbitrária de chamáveis. Um atacante pode explorar isso para executar comandos de sistema arbitrários durante a inicialização da aplicação. --- ### Correções A vulnerabilidade é corrigida introduzindo validação que rejeita a chave de fábrica `()` insegura nas configurações de logging antes de passá-las para `dictConfig()`. #### Corrigido em - Kedro 1.3.0 Os usuários devem atualizar para esta versão o mais rápido possível. --- ### Soluções alternativas Se a atualização não for possível imediatamente: - Não permita que entradas não confiáveis controlem a variável de ambiente `KEDRO_LOGGING_CONFIG` - Restrinja o acesso de escrita aos arquivos de configuração de logging - Evite usar configurações de logging fornecidas externamente ou geradas dinamicamente - Valide manualmente o YAML de logging para garantir que ele não contenha a chave `()` Essas mitigações reduzem o risco, mas não eliminam totalmente