CVE-2022-31027

Versões do CILogonOAuthenticator anteriores à 15.0.0

O problema diz respeito ao mecanismo de autorização no CILogonOAuthenticator, que é usado para restringir o acesso a um JupyterHub com base na instituição do usuário. A característica de configuração allowed idps tem como objetivo listar os domínios das instituições autorizadas, mas verifica apenas o endereço de e-mail fornecido pelo CILogon, e não o provedor de identidade utilizado. Isso significa que um usuário pode acessar o JupyterHub com uma conta do GitHub cujo endereço de e-mail corresponda ao domínio autorizado, mesmo que seu acesso ao provedor de identidade da instituição tenha sido revogado. O patch para este problema altera a forma como allowed idps é interpretado, exigindo agora o EntityID dos provedores de identidade permitidos.

Para versões anteriores à 15.0.0, atualize para a versão 15.0.0 ou superior e atualize a configuração allowed idps para usar o EntityID dos provedores de identidade permitidos, conforme especificado na documentação de migração. Como solução alternativa temporária, considere restringir o acesso ao JupyterHub até que o patch possa ser aplicado.