PT-2021-6459 · Unknown+2 · Jupyter Notebook+2
0Xdeva
+1
·
Publicado
2021-08-05
·
Atualizado
2024-08-02
·
CVE-2021-32798
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Jupyter Notebook anteriores à 5.7.11
Versões do Jupyter Notebook anteriores à 6.4.1
Descrição
A vulnerabilidade está relacionada à filtragem incorreta de símbolos especiais no componente Caja do ambiente Jupyter Notebook, permitindo que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. Nas versões afetadas, um notebook não confiável pode executar código ao ser carregado, e o Jupyter Notebook usa uma versão obsoleta do Google Caja para sanitizar as entradas do usuário. Uma vulnerabilidade pública de contorno do Caja pode ser usada para desencadear um XSS quando uma vítima abre um documento ipynb malicioso no Jupyter Notebook, permitindo que um invasor execute código arbitrário no computador da vítima usando as APIs do Jupyter.
Recomendações
Para versões anteriores à 5.7.11, atualize para a versão 5.7.11 ou posterior.
Para versões anteriores à 6.4.1, atualize para a versão 6.4.1 ou posterior.
Como solução temporária, considere restringir a execução de notebooks não confiáveis para minimizar o risco de exploração.
Evite abrir documentos ipynb maliciosos no Jupyter Notebook até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Jupyter Notebook