PT-2021-23166 · Unknown · Jupyterhub-Firstuseauthenticator
Georgejhunt
·
Publicado
2021-10-28
·
Atualizado
2021-11-03
·
CVE-2021-41194
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do jupyterhub-firstuseauthenticator anteriores à 1.0.0
Descrição
A vulnerabilidade no jupyterhub-firstuseauthenticator permite o acesso não autorizado à conta de qualquer usuário se
create users=True e o nome de usuário for conhecido ou adivinhado. Este problema afeta versões anteriores à 1.0.0. Para mitigar a vulnerabilidade, é possível atualizar para a versão 1.0.0 ou aplicar um patch manualmente. Para aqueles que não podem atualizar, existe uma mitigação parcial desativando a criação de usuários com c.FirstUseAuthenticator.create users = False, o que permitirá apenas o login com nomes de usuário totalmente normalizados para usuários já existentes. No entanto, usuários que nunca tenham feito login com seu nome de usuário normalizado continuarão vulneráveis até que um patch ou atualização seja aplicado.Recomendações
Para versões anteriores à 1.0.0, atualize para a versão 1.0.0 para resolver o problema.
Como solução temporária para aqueles que não podem atualizar, desative a criação de usuários com
c.FirstUseAuthenticator.create users = False para minimizar o risco de exploração.Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupyterhub-Firstuseauthenticator