PT-2025-7886 · Unknown · Jupyterhub Oauthenticator

Consideratio

·

Publicado

2025-02-25

·

Atualizado

2025-03-03

·

CVE-2023-25574

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas jupyterhub-ltiauthenticator versões 1.3.0 até 1.3.x
Descrição O problema diz respeito ao LTI13Authenticator no jupyterhub-ltiauthenticator, que não validava assinaturas JWT, potencialmente permitindo que requisições forjadas fossem autorizadas. Isso afeta instalações do JupyterHub configuradas para usar a classe LTI13Authenticator.
Recomendações Para as versões 1.3.0 até 1.3.x, atualize para a versão 1.4.0, que remove o LTI13Authenticator para corrigir o problema. Como solução temporária, considere desativar a classe LTI13Authenticator até que o problema seja resolvido.

Exploit

Correção

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

BDU:2026-00153
CVE-2023-25574
GHSA-MCGX-2GCR-P3HP
PYSEC-2025-120

Produtos afetados

Jupyterhub Oauthenticator