Oliver-Sanders

**Nome do software vulnerável e versões afetadas** Versões do JupyterHub anteriores à 4.1.6 e à 5.1.0 **Descrição** A vulnerabilidade permite que um usuário com o escopo `admin:users` eleve seus próprios privilégios, tornando-se um usuário administrador com plenos direitos. Esse escopo já é extremamente privilegiado e concedido apenas a usuários confiáveis. Na prática, `admin:users` é equivalente a `admin=True`, o que não é a intenção. O impacto é relativamente pequeno, e a alteração apenas impede a escalada para a função de administrador integrada do JupyterHub com permissões irrestritas. Ela não impede que usuários com permissões `groups` concedam a si mesmos ou a outros usuários permissões por meio da associação a grupos, o que é intencional. **Recomendações** Para resolver o problema, atualize para a versão 4.1.6 ou 5.1.0, pois essas versões corrigem o problema. Como solução alternativa temporária, considere restringir o uso do escopo `admin:users` para minimizar o risco de exploração. Restrinja o acesso às permissões equivalentes a `admin=True` para impedir a escalada de privilégios não intencional.