Krassowski

**Nome do software vulnerável e versões afetadas** Versões do JupyterLab anteriores à 3.6.8 Versões do JupyterLab anteriores à 4.2.5 Versões do Jupyter Notebook anteriores à 7.2.2 **Descrição** Este problema depende da interação do usuário ao abrir um notebook malicioso com células Markdown ou um arquivo Markdown utilizando o recurso de visualização do JupyterLab. Um usuário mal-intencionado pode acessar quaisquer dados aos quais o usuário atacado tenha acesso, bem como realizar solicitações arbitrárias agindo como o usuário atacado. **Recomendações** Para resolver o problema, atualize para a versão 3.6.8, 4.2.5 ou posterior do JupyterLab, ou para a versão 7.2.2 ou posterior do Jupyter Notebook. Como solução alternativa temporária, considere desativar os seguintes plug-ins: - `@jupyterlab/mathjax-extension:plugin` para impedir a visualização de equações matemáticas - `@jupyterlab/markdownviewer-extension:plugin` para impedir a abertura de visualizações Markdown - `@jupyterlab/mathjax2-extension:plugin` (se instalado) para impedir o uso de uma versão mais antiga do plugin mathjax para o JupyterLab 4.x Para desativar essas extensões, execute os seguintes comandos no bash: jupyter labextension disable @jupyterlab/markdownviewer-extension:plugin jupyter labextension disable @jupyterlab/mathjax-extension:plugin jupyter labextension disable @jupyterlab/mathjax2-extension:plugin

**Nome do software vulnerável e versões afetadas** Versões 1.0.0 a 1.1.5 do Jupyter Scheduler Versão 1.2.0 do Jupyter Scheduler Versões 1.3.0 a 1.8.1 do Jupyter Scheduler Versões 2.0.0 a 2.5.1 do Jupyter Scheduler **Descrição** O Jupyter Scheduler é um conjunto de extensões para tarefas de programação a serem executadas imediatamente ou de acordo com uma programação. A lista de ambientes Conda dos usuários do `jupyter-scheduler` pode ser exposta, revelando potencialmente informações sobre projetos nos quais um usuário específico possa estar trabalhando. Este problema é causado pela falta de uma verificação de autenticação no Jupyter Server no endpoint da API `GET /scheduler/runtime environments`, que lista os nomes dos ambientes Conda no servidor. Um usuário não autenticado pode obter a lista de nomes de ambientes Conda no servidor, revelando qualquer informação que possa estar presente no nome de um ambiente Conda. **Recomendações** Para as versões 1.0.0 a 1.1.5 do Jupyter Scheduler, atualize para a versão 1.1.6. Para a versão 1.2.0 do Jupyter Scheduler, atualize para a versão 1.2.1. Para as versões 1.3.0 a 1.8.1 do Jupyter Scheduler, atualize para a versão 1.8.2. Para as versões 2.0.0 a 2.5.1 do Jupyter Scheduler, atualize para a versão 2.5.2. Como solução alternativa temporária, os operadores de servidor que não conseguirem atualizar podem desativar a extensão `jupyter-scheduler` com o comando `jupyter server extension disable jupyter-scheduler`.

**Nome do software vulnerável e versões afetadas** Versões do JupyterLab anteriores à 4.0.11 **Descrição** Esta vulnerabilidade depende da interação do usuário ao abrir um arquivo Markdown malicioso utilizando o recurso de visualização do JupyterLab. Um usuário mal-intencionado pode acessar quaisquer dados aos quais o usuário atacado tenha acesso e realizar solicitações arbitrárias agindo em nome do usuário atacado. **Recomendações** Para versões anteriores à 4.0.11, atualize para a versão 4.0.11 ou posterior. Como solução temporária para usuários que não possam atualizar, desative a extensão de índice executando `jupyter labextension disable @jupyterlab/toc-extension:registry` no terminal.