CVE-2026-35171 是 Kedro 框架中一个严重的远程代码执行 (RCE) 漏洞。该漏洞源于 Kedro 不安全地使用 logging.config.dictConfig() 函数处理用户可控的日志配置,允许攻击者通过 KEDROLOGGINGCONFIG 环境变量注入恶意配置,从而在应用程序启动时执行任意系统命令。受影响的版本包括 Kedro ≤1.2.0。此漏洞已在 Kedro 1.3.0 版本中得到修复,建议用户尽快升级。
CVE-2026-35171 是 Kedro 中的一个关键远程代码执行 (RCE) 漏洞,源于对用户控制输入的不安全使用 logging.config.dictConfig()。Kedro 允许通过 KEDROLOGGINGCONFIG 环境变量设置日志配置文件的路径,并且在未进行验证的情况下加载它。日志配置模式支持特殊的 () 键,这使得可以进行任意可调用实例化的操作。攻击者可以利用此漏洞在应用程序执行期间执行任意系统命令,从而可能危及系统的机密性、完整性和可用性。
攻击者可以通过将 KEDROLOGGINGCONFIG 环境变量设置为指向恶意日志配置文件来利用此漏洞。该文件可能包含一个任意调用,该调用执行系统命令。由于 Kedro 在未进行验证的情况下加载此配置,因此该调用将使用 Kedro 进程的权限执行。这可能允许攻击者控制系统或访问敏感数据。漏洞的易用性在于操纵环境变量的简单性以及 Kedro 中缺乏验证。
漏洞利用状态
EPSS
0.40% (60% 百分位)
CISA SSVC
针对 CVE-2026-35171 的主要缓解措施是将 Kedro 升级到 1.3.0 或更高版本。此版本包含一个修复程序,可以验证日志配置并防止任意代码执行。如果无法立即升级,建议避免使用 KEDROLOGGINGCONFIG 环境变量,而是直接在应用程序代码中配置日志记录。此外,请审查和验证任何现有的日志配置文件的内容,以确保其中不包含恶意配置。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。
Actualice Kedro a la versión 1.3.0 o superior para mitigar esta vulnerabilidad. La actualización corrige la falta de validación en la configuración de registro, evitando la ejecución de código arbitrario a través de la variable de entorno KEDRO_LOGGING_CONFIG.
漏洞分析和关键警报直接发送到您的邮箱。
这是一个允许攻击者在系统上执行任意命令的 Kedro 中的远程代码执行 (RCE) 漏洞。
将 Kedro 升级到 1.3.0 或更高版本。如果无法做到这一点,请避免使用 KEDROLOGGINGCONFIG 并直接在代码中配置日志记录。
攻击者可能会控制系统、访问敏感数据或中断服务。
这是一个用于配置日志记录系统的 Python 函数。当使用未经验证的输入时,漏洞在于它能够执行任意代码。
目前没有专门用于检测此漏洞的工具。建议审查 Kedro 代码和配置以查找潜在问题。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。