PT-2024-28639 · Unknown+1 · Jupyterlab Extension Template+1
Avivkeller
+1
·
Publicado
2024-07-16
·
Atualizado
2025-12-18
·
CVE-2024-39700
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do modelo de extensão do JupyterLab anteriores à 4.3.0
Descrição
O modelo de extensão do JupyterLab apresenta uma vulnerabilidade de execução remota de código (RCE) no fluxo de trabalho
update-integration-tests.yml. Esse problema afeta repositórios criados usando o modelo com a opção test. Recomenda-se que os autores de extensões atualizem o modelo para a versão mais recente. Os usuários que modificaram o arquivo update-integration-tests.yml devem aceitar a substituição desse arquivo e reaplicar suas alterações posteriormente. Recomenda-se desativar temporariamente o GitHub Actions enquanto trabalha na atualização e rebase todas as pull requests abertas de usuários não confiáveis.Recomendações
Para versões anteriores à 4.3.0, atualize o modelo para a versão mais recente, sobrescrevendo o arquivo
update-integration-tests.yml se necessário, e reaplique quaisquer alterações feitas nesse arquivo posteriormente.Como solução alternativa temporária, considere desativar o GitHub Actions até que a atualização seja concluída.
Restrinja o acesso às pull requests de usuários não confiáveis e faça o rebase delas para garantir que as ações sejam executadas com a versão atualizada.
Exploit
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Jupyterlab Extension Template