在 JupyterLab 的 Markdown 预览中存储跨站点脚本 (CVE-2024-22420)
CVE编号
CVE-2024-22420利用情况
暂无补丁情况
N/A披露时间
2024-01-20漏洞描述
JupyterLab 是一个可扩展的交互式和可重复计算环境,基于 Jupyter Notebook 和架构。该漏洞依赖于用户通过使用 JupyterLab 预览功能打开恶意 Markdown 文件进行交互。恶意用户可以访问被攻击用户可以访问的任意数据,并且可以以被攻击用户的身份执行任意请求。JupyterLab 版本 4.0.11 已经修补。建议用户升级。无法升级的用户应禁用目录索引扩展。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/jupyterlab/jupyterlab/commit/e1b3aabab603878e46add445a3114... | |
| https://github.com/jupyterlab/jupyterlab/security/advisories/GHSA-4m77-cmpx-vjc4 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论