PT-2024-30672 · Unknown+1 · Jupyter Notebook+5
Krassowski
·
Publicado
2024-08-28
·
Atualizado
2025-12-08
·
CVE-2024-43805
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do JupyterLab anteriores à 3.6.8
Versões do JupyterLab anteriores à 4.2.5
Versões do Jupyter Notebook anteriores à 7.2.2
Descrição
Este problema depende da interação do usuário ao abrir um notebook malicioso com células Markdown ou um arquivo Markdown utilizando o recurso de visualização do JupyterLab. Um usuário mal-intencionado pode acessar quaisquer dados aos quais o usuário atacado tenha acesso, bem como realizar solicitações arbitrárias agindo como o usuário atacado.
Recomendações
Para resolver o problema, atualize para a versão 3.6.8, 4.2.5 ou posterior do JupyterLab, ou para a versão 7.2.2 ou posterior do Jupyter Notebook.
Como solução alternativa temporária, considere desativar os seguintes plug-ins:
-
@jupyterlab/mathjax-extension:pluginpara impedir a visualização de equações matemáticas -
@jupyterlab/markdownviewer-extension:pluginpara impedir a abertura de visualizações Markdown -
@jupyterlab/mathjax2-extension:plugin(se instalado) para impedir o uso de uma versão mais antiga do plugin mathjax para o JupyterLab 4.x
Para desativar essas extensões, execute os seguintes comandos no bash:
jupyter labextension disable @jupyterlab/markdownviewer-extension:plugin
jupyter labextension disable @jupyterlab/mathjax-extension:plugin
jupyter labextension disable @jupyterlab/mathjax2-extension:plugin
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Jupyterlab/Markdownviewer-Extension
@Jupyterlab/Mathjax-Extension
@Jupyterlab/Mathjax2-Extension
Alt Linux
Jupyter Notebook
Jupyterlab