CVE-2022-29238

Versões do Jupyter Notebook anteriores à 6.4.12

O problema diz respeito ao Jupyter Notebook, um ambiente de notebook baseado na web para computação interativa. Antes da versão 6.4.12, solicitações autenticadas ao servidor do notebook com ContentsManager.allow hidden = False apenas impediam a listagem do conteúdo de diretórios ocultos, não o acesso a arquivos ocultos individuais ou a arquivos em diretórios ocultos. Isso poderia levar a configurações do notebook que permitissem acesso autenticado a arquivos que, razoavelmente, se esperaria que fossem proibidos. Como são necessárias solicitações totalmente autenticadas, o impacto é relativamente baixo. No entanto, se o diretório raiz de um servidor contiver arquivos confidenciais cuja única proteção contra o servidor seja o fato de estarem ocultos, então qualquer solicitação autenticada poderia acessar os arquivos se seus nomes fossem adivinháveis.

Para resolver o problema, atualize para a versão 6.4.12 ou posterior.

Como solução alternativa temporária, considere não executar o servidor do notebook em um diretório com arquivos ocultos e, em vez disso, use subdiretórios.

Como alternativa, use um ContentsManager personalizado com verificações adicionais para self.is hidden(path) antes de concluir as ações.