Cert-Eu

**Nome do Software Vulnerável e Versões Afetadas** Open Notebook versão 1.8.1 **Description** Uma validação de entrada inadequada, combinada com uma configuração de Compartilhamento de Recursos de Origem Cruzada (CORS) padrão excessivamente permissiva, permite que um invasor remoto engane um usuário legítimo para alterar ou excluir entradas arbitrárias no banco de dados por meio de uma URL maliciosa especialmente criada. Dependendo da implantação, a exfiltração de dados também é possível. Este problema é um Cross-Site Request Forgery (CSRF), que ocorre quando um invasor induz uma vítima a realizar ações que ela não pretende realizar. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open Notebook versão 1.8.3 **Descrição** A sanitização insuficiente de entrada de usuário permite que um usuário da aplicação realize Server-Side Template Injection (SSTI), uma falha onde um invasor pode injetar templates maliciosos em um mecanismo do lado do servidor. Isso possibilita a execução de código Python e subsequentes comandos do sistema operacional dentro do container docker por meio de transformações criadas pelo usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open Notebook versão 1.8.3 **Descrição** A validação insuficiente de entrada do usuário na funcionalidade de upload de arquivos permite que um usuário autenticado crie ou modifique arquivos dentro do container docker usando path traversal, uma técnica utilizada para acessar arquivos e diretórios armazenados fora da pasta pretendida. **Recomendações** Atualize o Open Notebook para uma versão posterior à 1.8.3. Como medida paliativa temporária, restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Open Notebook versão 1.8.3 **Descrição** A validação insuficiente de entrada do usuário na funcionalidade de upload de arquivos permite que um usuário da aplicação acesse o conteúdo de arquivos locais do container docker por meio de path traversal, uma técnica utilizada para acessar arquivos e diretórios armazenados fora da pasta raiz da web. **Recomendações** Atualize o Open Notebook versão 1.8.3 para uma versão que corrija este problema. Como medida paliativa temporária, restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração.