Pmcao

**Nome do Software Vulnerável e Versões Afetadas** JupyterLab versões anteriores a 4.5.7 **Description** O Gerenciador de Extensões PyPI não impõe corretamente a lista de permissões `allowed extensions uris`, permitindo a instalação de pacotes não listados no índice PyPI padrão. Este problema afeta implementações que utilizam listas de permissões para restringir a instalação de pacotes, possuem kernels e terminais desativados ou utilizam configurações multi-tenant não configuradas para usuários não confiáveis. Um invasor autenticado pode explorar isso para escalar privilégios, podendo levar à exfiltração de dados, movimentação lateral na rede e comprometimento persistente da infraestrutura do servidor. **Recommendations** Atualize para a versão 4.5.7. Como medida paliativa temporária, altere para um gerenciador de extensões somente leitura usando a opção de linha de comando `--LabApp.extension manager=readonly` ou o traitlet `c.LabApp.extension manager = 'readonly'`.

**Name of the Vulnerable Software and Affected Versions** SciTokens versions prior to 1.9.6 **Description** SciTokens is a reference library for generating and using SciTokens. The KeyCache class was susceptible to SQL Injection due to the use of Python’s `str.format()` function to construct SQL queries with user-supplied data, such as the `issuer` and `key id`. This allowed an attacker to execute arbitrary SQL commands against the local SQLite database. The issue was addressed in version 1.9.6. **Recommendations** Update to SciTokens version 1.9.6 or later.

**Name of the Vulnerable Software and Affected Versions** SciTokens versions prior to 1.9.6 **Description** SciTokens is a library for generating and using SciTokens. The Enforcer component incorrectly validates scope paths using a simple prefix match, allowing a token with access to a specific path to also access sibling paths that share the same prefix. This results in an Authorization Bypass. The issue occurs because the `startswith` method is used for scope path validation, which is insufficient for secure access control. The vulnerable component is the `Enforcer`. **Recommendations** Update to SciTokens version 1.9.6 or later.

**Name of the Vulnerable Software and Affected Versions** SciTokens versions prior to 1.9.7 **Description** SciTokens is a library for generating and using SciTokens. The Enforcer component is susceptible to a path traversal issue. An attacker can exploit this by including 'dot-dot' (..) sequences within the scope claim of a token, allowing them to bypass intended directory restrictions. The library normalizes both the authorized path from the token and the requested path from the application before comparing them using the `startswith()` function, which enables the path traversal. **Recommendations** Update to version 1.9.7 or later.

**Name of the Vulnerable Software and Affected Versions** SciTokens C++ versions prior to 1.4.1 **Description** SciTokens C++ is a library for creating and using SciTokens. Versions before 1.4.1 have an authorization bypass when handling path-based scopes within tokens. The library normalizes the scope path, collapsing ".." path components instead of rejecting them. This allows an attacker to use parent directory traversal in the scope claim to expand authorization beyond the intended directory. The vulnerability occurs during the processing of the scope claim within SciTokens. **Recommendations** Update to SciTokens C++ version 1.4.1 or later.

Name of the Vulnerable Software and Affected Versions SciTokens C++ versões anteriores a 1.4.1 Description A biblioteca SciTokens C++, utilizada para criar e utilizar SciTokens, contém uma falha na validação de escopo baseada em caminho. O executor realiza uma comparação de prefixo de string para verificar se um caminho de recurso solicitado está dentro do escopo autorizado de um token. Essa verificação carece de aplicação de limite de segmento de caminho, permitindo que um token com escopo para um caminho autorize incorretamente o acesso a caminhos irmãos que compartilham o mesmo prefixo. Recommendations Atualize para a versão 1.4.1 ou posterior.