PT-2024-27458 · Unknown · Authenticator+2
Minrk
·
Publicado
2024-06-12
·
Atualizado
2024-06-13
·
CVE-2024-37300
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do JupyterHub anteriores à 5.0
Versão do OAuthenticator anterior à 16.3.1
Descrição
O problema decorre de uma alteração no JupyterHub 5.0, na qual o parâmetro
allow all tem precedência sobre o parâmetro identity provider ao usar o GlobusOAuthenticator. Essa alteração pode fazer com que todos os usuários tenham permissão para fazer login, independentemente de seu identity provider, se a configuração permitir todos os usuários de uma determinada instituição. Essa é uma alteração documentada no JupyterHub 5.0, mas pode pegar muitos usuários de surpresa.Recomendações
Para versões do JupyterHub anteriores à 5.0, considere atualizar para o OAuthenticator 16.3.1 para corrigir o problema.
Para versões do OAuthenticator anteriores à 16.3.1, não atualize para o JupyterHub 5.0 ao usar
GlobusOAuthenticator na configuração anterior.Como solução temporária, evite usar o parâmetro
allow all em conjunto com o parâmetro identity provider até que o problema seja resolvido.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Globusoauthenticator
Jupyterhub
Authenticator