HIGHCVE-2026-35167CVSS 7.1

Kedro 在版本化数据集加载过程中存在路径遍历漏洞，原因是未清理版本字符串

Q: 什么是 CVE-2026-35167 — 路径遍历漏洞在 Kedro 中?

CVE-2026-35167 是一个路径遍历漏洞，影响 Kedro 数据科学工具箱的 0.0.0 到 1.3.0 版本。攻击者可以利用此漏洞访问未经授权的文件。

Q: 我是否受到 CVE-2026-35167 在 Kedro 中的影响?

如果您正在使用 Kedro 的 0.0.0 到 1.3.0 版本，则可能受到此漏洞的影响。请立即升级到 1.3.0 或更高版本。

Q: 我如何修复 CVE-2026-35167 在 Kedro 中?

升级到 Kedro 1.3.0 或更高版本以修复此漏洞。如果无法升级，请实施临时缓解措施，例如限制用户输入。

Q: CVE-2026-35167 是否正在被积极利用?

虽然尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。

Q: 在哪里可以找到官方 Kedro 关于 CVE-2026-35167 的公告?

请查阅 Kedro 官方安全公告以获取更多信息：[请在此处插入官方公告链接，如果存在的话]

平台

python

组件

kedro

修复版本

1.3.1

1.3.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-35167 是一个在 Kedro 数据科学工具箱中发现的路径遍历漏洞。该漏洞源于 getversioned_path() 方法对用户提供的版本字符串缺乏清理，导致攻击者可以通过构造包含 ../ 等路径遍历序列，逃逸预期的版本数据集目录。此漏洞影响从 0.0.0 到 1.3.0 的版本，建议升级至 1.3.0 版本以解决该问题。

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问 Kedro 项目中的敏感文件，例如配置文件、密钥文件或数据文件。通过 catalog.load(..., version=...)、DataCatalog.fromconfig(..., loadversions=...) 以及命令行界面 (kedro run --load-versions=dataset:../../../secrets) 等多个入口点，攻击者可以读取或修改这些文件。例如，攻击者可能能够读取包含数据库密码或其他敏感信息的配置文件，从而获得对系统的进一步访问权限。如果攻击者能够修改文件，则可能导致数据损坏或系统不稳定。

利用背景

此漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 存在，表明攻击者可以轻松地利用此漏洞。

哪些人处于风险中翻译中…

Data science teams and organizations using Kedro for data pipeline orchestration are at risk, particularly those relying on older versions (0.0.0 - 1.2.9). Environments where Kedro pipelines process or store sensitive data, such as financial or healthcare information, face a higher risk of data compromise. Shared hosting environments where multiple Kedro pipelines are deployed on the same server could also be vulnerable.

检测步骤翻译中…

• python / kedro:

import os
import kedro

def check_versioned_path(version):
    try:
        path = kedro.io.core._get_versioned_path('dataset', version=version)
        # Check if the path is within the expected directory
        if '..' in version:
            print(f"Potential path traversal detected with version: {version}")
    except Exception as e:
        print(f"Error checking path: {e}")

# Example usage with a malicious version string
check_versioned_path('dataset:../../../secrets')

• generic web: Check Kedro pipeline configuration files for version strings that include traversal sequences (../). Examine access logs for requests containing suspicious path parameters.

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.06% (19% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件kedro

供应商kedro-org

影响范围修复版本

< 1.3.0 – < 1.3.01.3.1

—1.3.0

弱点分类 (CWE)

CWE-22

时间线

已保留2026-04-01
发布日期2026-04-06
修改日期2026-04-07
EPSS 更新日期2026-04-14

披露后-5天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级到 Kedro 1.3.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制用户提供的版本字符串的输入，实施严格的访问控制，以防止未经授权的访问敏感文件。此外，监控系统日志，查找任何异常的文件访问模式。在升级后，验证版本字符串处理是否正确，确保路径构建不再允许路径遍历。

修复方法翻译中…

Actualice Kedro a la versión 1.3.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión corrige la falta de sanitización en la construcción de rutas de archivos al cargar conjuntos de datos versionados, evitando así la posibilidad de acceder a archivos fuera del directorio de versiones previsto.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-35167 — 路径遍历漏洞在 Kedro 中?