漏洞概述 漏洞名称: Path Traversal via Unsanitized Version String in Versioned Dataset Loading in kedro-org/kedro CVE编号: CVE-2026-3840 漏洞类型: CWE-32: Path Traversal 严重程度: High (7.1) 受影响版本: PyPI 1.2.0 状态: 等待修复 发现者: Noobosaurus R3x 描述: 在 中的 方法直接拼接用户提供的版本字符串作为文件路径,未进行任何 sanitization。这导致攻击者可以通过控制版本字符串来构造路径遍历序列(如 ),从而加载预期目录之外的文件。 影响范围 未授权文件读取: 攻击者可以读取预期版本目录之外的文件,受限于数据集文件名约束。 数据投毒: 通过强制管道加载攻击者控制的输入数据,替代预期的数据集版本。 跨项目或跨租户数据访问: 在共享执行环境中,版本参数由用户影响时,可能导致数据泄露。 更广泛的下游影响: 对于反序列化结构化或可执行格式的数据集类型,影响更大。 修复方案 目前状态为“等待修复”,具体修复方案尚未公布。 POC代码 影响示例 CLI 利用示例 这将导致 Kedro 加载 而不是预期的版本化数据集文件。