PT-2024-19412 · Unknown+1 · Jupyterlab+2

Davwwwx

·

Publicado

2024-01-19

·

Atualizado

2024-09-18

·

CVE-2024-22421

CVSS v3.1

7.6

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do JupyterLab anteriores à 4.1.0b2
Versões do JupyterLab anteriores à 4.0.11
Versões do JupyterLab anteriores à 3.6.7
Versões do jupyter-server anteriores à 2.7.2
Descrição
O JupyterLab é um ambiente extensível para computação interativa e reproduzível, baseado no Jupyter Notebook e na Arquitetura Jupyter. Os usuários do JupyterLab que clicarem em um link malicioso podem ter seus tokens Authorization e XSRFToken expostos a terceiros ao executarem uma versão mais antiga do jupyter-server.
Recomendações
Para versões do JupyterLab anteriores à 4.1.0b2, atualize para a versão 4.1.0b2 ou mais recente.
Para versões do JupyterLab anteriores à 4.0.11, atualize para a versão 4.0.11 ou mais recente.
Para versões do JupyterLab anteriores à 3.6.7, atualize para a versão 3.6.7 ou mais recente.
Para versões do jupyter-server anteriores à 2.7.2, atualize para a versão 2.7.2 ou mais recente, que inclui uma correção para a vulnerabilidade de redirecionamento.

Exploit

Correção

Information Disclosure

Relative Path Traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-23

Identificadores relacionados

ALT-PU-2024-12926
BIT-JUPYTER-BASE-NOTEBOOK-2024-22421
BIT-JUPYTER-NOTEBOOK-2024-22421
BIT-JUPYTERLAB-2024-22421
CVE-2024-22421
GHSA-44CC-43RP-5947
OPENSUSE-SU-2024:13605-1

Produtos afetados

Alt Linux
Jupyterlab
Jupyter Server