PT-2022-15049 · Unknown · Jupyter Server Proxy
Mr-R3Bot
·
Publicado
2022-01-25
·
Atualizado
2022-02-01
·
CVE-2022-21697
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Jupyter Server Proxy anteriores à 3.2.1
Descrição
O problema está relacionado à falsificação de solicitação do lado do servidor (SSRF) devido à falta de validação de entrada, permitindo que clientes autenticados encaminhem solicitações para outros hosts e contornem a verificação
allowed hosts. Isso é considerado de gravidade baixa a moderada, pois a autenticação é necessária, o que já concede permissões para fazer as mesmas solicitações por meio da execução do kernel ou do terminal. Qualquer usuário que esteja utilizando o Jupyter Server ou o Notebook com a extensão jupyter-proxy-server ativada está afetado.Recomendações
Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 para receber um patch.
Como solução alternativa temporária, os usuários também podem instalar o patch manualmente.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupyter Server Proxy