PT-2024-2426 · Unknown · Jupyter Server Proxy
Yuvipanda
·
Publicado
2024-03-20
·
Atualizado
2025-02-21
·
CVE-2024-28179
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Jupyter Server Proxy anteriores à 3.2.3
Versões do Jupyter Server Proxy anteriores à 4.1.1
Descrição
O problema está relacionado à falta de autenticação adequada do usuário ao fazer proxy de websockets no Jupyter Server Proxy. Isso permite o acesso não autenticado a qualquer pessoa com acesso à rede ao endpoint do servidor Jupyter, podendo levar à execução remota de código arbitrário não autenticado. A vulnerabilidade afeta projetos que dependem de websockets, mas não aqueles que não usam websockets ou os endpoints de websocket expostos pelo próprio
jupyter server.Recomendações
Para versões do Jupyter Server Proxy anteriores à 3.2.3, atualize para a versão 3.2.3 ou posterior.
Para versões do Jupyter Server Proxy anteriores à 4.1.1, atualize para a versão 4.1.1 ou posterior.
Como solução temporária, considere restringir o acesso aos endpoints de websocket vulneráveis até que um patch seja aplicado.
Para administradores do JupyterHub, siga as etapas fornecidas para verificar e corrigir a vulnerabilidade nos servidores de usuários e considere encerrar os servidores de usuários atualmente em execução que ainda possam estar vulneráveis.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupyter Server Proxy