CVE-2026-35167 in kedroinformação

Sumário

de VulDB • 03/06/2026

Kedro é uma caixa de ferramentas para ciência de dados pronta para produção. Antes da versão 1.3.0, o método `_get_versioned_path()` em `kedro/io/core.py` constrói caminhos do sistema de arquivos interpolando diretamente strings de versão fornecidas pelo usuário sem sanitização. Como as strings de versão são usadas como componentes de caminho, sequências de traversal como `../` são preservadas e podem escapar do diretório pretendido para o dataset versionado.

Isso é alcançável por meio de múltiplos pontos de entrada: `catalog.load(..., version=...)`, `DataCatalog.from_config(..., load_versions=...)` e a CLI via `kedro run --load-versions=dataset:../../../secrets`. Um atacante que possa influenciar a string de versão pode forçar o Kedro a carregar arquivos de fora do diretório de versão pretendido, permitindo leituras não autorizadas de arquivos, envenenamento de dados ou acesso a dados entre inquilinos em ambientes compartilhados. Esta vulnerabilidade foi corrigida na versão 1.3.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

01/04/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355627

CPE

pronto

EPSS

0.00022

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35167
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35167
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35167/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!