Kedro 由于恶意日志配置导致任意代码执行

### 影响 这是一个**严重远程代码执行 (RCE)** 漏洞，由于不安全地使用带有用户控制输入的 `logging.config.dictConfig()` 导致。 Kedro 允许通过 `KEDRO_LOGGING_CONFIG` 环境变量设置日志配置文件路径，并在没有验证的情况下加载它。日志配置模式支持特殊的 `()` 键，这使得可以实例化任意可调用对象。攻击者可以利用这一点在应用程序启动期间执行任意系统命令。 --- ### 补丁 该漏洞通过引入验证来修复，该验证拒绝日志配置中不安全的 `()` 工厂键，然后再将其传递给 `dictConfig()`。 #### 已修复于 - Kedro 1.3.0 用户应尽快升级到此版本。 --- ### 解决方法 如果无法立即升级： - 不允许不受信任的输入控制 `KEDRO_LOGGING_CONFIG` 环境变量 - 限制对日志配置文件的写入访问权限 - 避免使用外部提供的或动态生成的日志配置 - 手动验证日志 YAML，以确保它不包含 `()` 键 这些缓解措施降低了风险，但不能完全消除