PT-2024-19406 · Unknown · Jupyter-Lsp+3
Bary Levy
·
Publicado
2024-01-18
·
Atualizado
2024-01-30
·
CVE-2024-22415
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do jupyter-lsp anteriores à 2.2.2
Descrição
O problema afeta instalações do jupyter-lsp em execução em ambientes sem controle de acesso ao sistema de arquivos configurado e com instâncias do jupyter-server expostas a redes não confiáveis, permitindo o acesso não autorizado e a modificação do sistema de arquivos além do diretório raiz do jupyter.
Recomendações
Para versões anteriores à 2.2.2, atualize para a versão 2.2.2 para resolver o problema.
Como solução temporária para usuários que não possam atualizar, considere desinstalar o jupyter-lsp.
Usuários do jupyterlab que não utilizam o jupyterlab-lsp podem desinstalar o jupyter-lsp como medida de mitigação.
Exploit
Correção
Improper Access Control
Path traversal
Missing Authentication
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jupyter-Lsp
Jupyter Server
Jupyterlab
Jupyterlab-Lsp