CVE-2025-23205

Nome do Software Vulnerável e Versões Afetadas Versões do nbgrader anteriores a 0.9.5

Descrição O problema permite que qualquer usuário do JupyterHub extraia conteúdo do formgrader enviando links maliciosos para usuários com acesso ao formgrader, pelo menos ao utilizar a configuração padrão do JupyterHub de enable subdomains = False. Isso é possível porque habilitar frame-ancestors: 'self' concede acesso ao conteúdo da página servida pelo formgrader utilizando as credenciais da vítima. Se um usuário, por exemplo, Alice, criar uma página incorporando o formgrader em um IFrame e outro usuário, Bob, visitar essa página, as credenciais dele serão enviadas e a página do formgrader carregada, permitindo que a página de Alice tenha acesso total ao conteúdo da página servida pelo formgrader.

Recomendações Para versões anteriores a 0.9.5, atualize para a versão 0.9.5 para resolver o problema. Como medida de contorno temporária, considere desabilitar frame-ancestors: self. Alternativamente, habilite subdomínios por usuário e por serviço com JupyterHub.enable subdomains = True para impedir que a página hospedeira acesse o conteúdo do frame, mesmo que a incorporação em um IFrame seja permitida.