PT-2021-19938 · Unknown · Jupyterlab
0Xdeva
+1
·
Publicado
2021-08-09
·
Atualizado
2024-03-06
·
CVE-2021-32797
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do JupyterLab anteriores à 1.2.21
Versões do JupyterLab anteriores à 2.2.10
Versões do JupyterLab anteriores à 2.3.2
Versões do JupyterLab anteriores à 3.0.17
Versões do JupyterLab anteriores à 3.1.4
Descrição
Nas versões afetadas, um notebook não confiável pode executar código ao ser carregado, permitindo a execução remota de código. Isso requer uma ação do usuário para abrir o notebook. O problema decorre da falha do JupyterLab em sanitizar o atributo action do HTML
<form>, permitindo o acionamento da validação do formulário fora do próprio formulário.Recomendações
Para versões anteriores à 1.2.21, atualize para a versão 1.2.21 ou posterior.
Para versões anteriores à 2.2.10, atualize para a versão 2.2.10 ou posterior.
Para versões anteriores à 2.3.2, atualize para a versão 2.3.2 ou posterior.
Para versões anteriores à 3.0.17, atualize para a versão 3.0.17 ou posterior.
Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jupyterlab