CVE-2026-35167 in kedroالمعلومات

الملخص

بحسب VulDB • 03/06/2026

كيدرو (Kedro) هو مجموعة أدوات جاهزة للإنتاج في مجال علوم البيانات. قبل الإصدار 1.3.0، تقوم الطريقة `_get_versioned_path()` الموجودة في الملف `kedro/io/core.py` ببناء مسارات نظام الملفات عن طريق التداخل المباشر لسلاسل النسخ التي يوفرها المستخدم دون تطهير (sanitization). وبما أن سلاسل النسخ تُستخدم كمكونات للمسار، فإن تسلسلات التنقل مثل `../` يتم الاحتفاظ بها ويمكنها الخروج من دليل مجموعة البيانات المخصص للنسخة المقصود.

يمكن الوصول إلى هذه الثغرة عبر نقاط دخول متعددة: `catalog.load(..., version=...)` و `DataCatalog.from_config(..., load_versions=...)`، بالإضافة إلى واجهة سطر الأوامر (CLI) باستخدام الأمر `kedro run --load-versions=dataset:../../../secrets`. يمكن لمهاجم قادر على التأثير في سلسلة النسخ أن يجبر كيدرو على تحميل ملفات من خارج الدليل المخصص للنسخة المقصود، مما يتيح قراءة الملفات دون إذن، أو تسميم البيانات (data poisoning)، أو الوصول إلى بيانات عبر مستأجرين مختلفين في البيئات المشتركة. تم إصلاح هذه الثغرة الأمنية في الإصدار 1.3.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

01/04/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355627

EPSS

0.00022

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35167
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35167
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35167/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!