CVE-2024-41942

Versões do JupyterHub anteriores à 4.1.6 e à 5.1.0

A vulnerabilidade permite que um usuário com o escopo admin:users eleve seus próprios privilégios, tornando-se um usuário administrador com plenos direitos. Esse escopo já é extremamente privilegiado e concedido apenas a usuários confiáveis. Na prática, admin:users é equivalente a admin=True, o que não é a intenção. O impacto é relativamente pequeno, e a alteração apenas impede a escalada para a função de administrador integrada do JupyterHub com permissões irrestritas. Ela não impede que usuários com permissões groups concedam a si mesmos ou a outros usuários permissões por meio da associação a grupos, o que é intencional.

Para resolver o problema, atualize para a versão 4.1.6 ou 5.1.0, pois essas versões corrigem o problema.

Como solução alternativa temporária, considere restringir o uso do escopo admin:users para minimizar o risco de exploração.

Restrinja o acesso às permissões equivalentes a admin=True para impedir a escalada de privilégios não intencional.