CVE-2024-28233

Versões do JupyterHub anteriores à 4.1.0

A vulnerabilidade permite que um invasor execute um ataque XSS que afeta diretamente a sessão de um usuário, induzindo-o a visitar um subdomínio malicioso. Isso pode resultar em acesso total à API do JupyterHub e ao servidor de usuário único do usuário. As configurações afetadas incluem implantações do JupyterHub de origem única e implantações com aplicativos controlados pelo usuário em execução em subdomínios ou subdomínios pares do Hub ou de um servidor de usuário único. Um invasor poderia criar e extrair um token de API, extrair arquivos hospedados no servidor de usuário único do usuário ou instalar extensões maliciosas.

Para versões anteriores à 4.1.0, atualize para o JupyterHub 4.1.0, habilite domínios por usuário via c.JupyterHub.subdomain host e defina c.JupyterHub.cookie host prefix enabled como True para habilitar cookies bloqueados por domínio. Como alternativa, implante o JupyterHub em seu próprio domínio e habilite domínios por usuário via c.JupyterHub.subdomain host.