製品・ソフトウェアに関する情報

JVN脆弱性詳細

Linux FoundationのKedroにおけるパストラバーサルの脆弱性

Title	Linux FoundationのKedroにおけるパストラバーサルの脆弱性
Summary	Kedroバージョン1.2.0に存在する脆弱性により、攻撃者は細工されたバージョン文字列を提供することでパストラバーサルを悪用する可能性があります。`kedro/io/core.py`の`_get_versioned_path()`メソッドは、ユーザーから提供されたバージョン文字列をファイルシステムパスに対してサニタイズせずに直接埋め込んでいます。これにより、攻撃者は意図されたバージョン管理されたデータセットディレクトリから脱出し、予期しないパス外のファイルにアクセスできるようになります。この問題は、`kedro/framework/cli/utils.py`の`_split_load_versions()`がバージョン文字列の検証を行っていないため、`--load-versions`パラメータを介したCLIからも悪用される可能性があります。この脆弱性によって、許可されていないファイルの読み取りやデータ汚染、プロジェクト間またはテナント間のデータアクセスが発生し、さらにKedroが自動化やオーケストレーション層と共に使用される環境においてより広範な下流影響を及ぼす恐れがあります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 12, 2026, midnight
Registration Date	June 22, 2026, 11:38 a.m.
Last Update	June 22, 2026, 11:38 a.m.

CVSS3.0 : 重要
Score	7.1
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Affected System

Linux Foundation

Kedro 1.2.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-3840	https://www.cve.org/CVERecord?id=CVE-2026-3840
National Vulnerability Database (NVD)
2	CVE-2026-3840	https://nvd.nist.gov/vuln/detail/CVE-2026-3840

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
huntr
1	huntr - The world's first bug bounty platform for AI/ML	https://huntr.com/bounties/156dead0-1ad5-487f-b7f5-84e707277f76

Change Log

No	Changed Details	Date of change
1	[2026年06月22日] 掲載	June 22, 2026, 11:38 a.m.

NVD Vulnerability Information

CVE-2026-3840

Summary	A vulnerability in Kedro version 1.2.0 allows an attacker to exploit path traversal by providing a crafted version string. The `_get_versioned_path()` method in `kedro/io/core.py` directly interpolates user-supplied version strings into filesystem paths without sanitization. This enables an attacker to escape the intended versioned dataset directory and access files outside the expected path. The issue is also reachable through the CLI via the `--load-versions` parameter, as `_split_load_versions()` in `kedro/framework/cli/utils.py` does not validate the version string. This vulnerability can lead to unauthorized file reads, data poisoning, cross-project or cross-tenant data access, and broader downstream impacts in environments where Kedro is used with automation or orchestration layers.
Publication Date	June 13, 2026, 2:16 a.m.
Registration Date	June 13, 2026, 4:18 a.m.
Last Update	June 17, 2026, 12:42 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://huntr.com/bounties/156dead0-1ad5-487f-b7f5-84e707277f76	security@huntr.dev
2	https://huntr.com/bounties/156dead0-1ad5-487f-b7f5-84e707277f76	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html