CVE-2024-9701

A Remote Code Execution (RCE) vulnerability has been identified in the Kedro ShelveStore class (version 0.19.8). This vulnerability allows an attacker to execute arbitrary Python code via deserialization of malicious payloads, potentially leading to a full system compromise. The ShelveStore class uses Python's shelve module to manage session data, which relies on pickle for serialization. Crafting a malicious payload and storing it in the shelve file can lead to RCE when the payload is deserialized.

CVSS v3 9.8 CRITICAL

9.8^/10

CVSS v3 : CRITICAL

V3 Legend

Vector : AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/kedro-org/kedro/commit/d79fa51de55ac0ccb58cce1a482df1b445f0fe7c
https://huntr.com/bounties/96c77fef-93b2-4d4d-8cbe-57a718d8eea5

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en la clase Kedro ShelveStore (versión 0.19.8). Esta vulnerabilidad permite a un atacante ejecutar código Python arbitrario mediante la deserialización de payloads maliciosos, lo que podría comprometer por completo el sistema. La clase ShelveStore utiliza el módulo shelve de Python para gestionar los datos de sesión, que se basa en pickle para la serialización. Crear un payload malicioso y almacenarla en el archivo shelve puede provocar una RCE cuando se deserializa.

20 Mar 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-03-20 10:15

Updated : 2026-04-15 00:35

NVD link : CVE-2024-9701

Mitre link : CVE-2024-9701

CVE.ORG link : CVE-2024-9701

JSON object : View

Products Affected

No product.

CWE

CWE-502

Deserialization of Untrusted Data

9.8 /10