CVE-2024-39700 (CVSS 9.9):JupyterLab 模板中存在严重漏洞

avatar
作者
筋斗云
阅读量:0

在这里插入图片描述
在广泛使用的 JupyterLab 扩展模板中发现了一个严重漏洞,编号为CVE-2024-39700 。此漏洞可能使攻击者能够在受影响的系统上远程执行代码,从而可能导致大范围入侵和数据泄露。

该漏洞源于在扩展创建过程中选择“测试”选项时自动生成“update-integration-tests.yml”工作流文件。这个旨在方便测试的工作流文件不幸包含一个漏洞,可利用该漏洞未经授权控制托管 JupyterLab 扩展的底层系统。

负责管理通用漏洞和暴露 (CVE) 系统的 GitHub 已将 CVE-2024-39700 漏洞的 CVSSv3.1 基本评分定为9.9,这是最高严重性评级。这强调了用户立即采取行动降低风险的紧迫性。

使用易受攻击的模板创建 JupyterLab 扩展并将其代码托管在 GitHub 上的开发人员面临的风险最大。攻击者可能会利用此漏洞注入恶意代码、窃取敏感数据或破坏操作。

为了防止潜在的攻击,强烈建议开发人员遵循以下步骤:

更新:立即将JupyterLab扩展模板升级到最新版本。

覆盖:使用更新模板中提供的版本替换“update-integration-tests.yml”文件。请谨慎重新应用任何自定义设置。

禁用(暂时):停用 GitHub Actions,直到更新过程完成。在这里插入图片描述
重新定基:确保所有来自不受信任来源的开放拉取请求都经过重新定基,以包含安全修复程序。

从 4.3.0 之前的模板版本升级的开发人员应注意,发布工作流程可能需要额外的配置调整。

漏洞相关信息:

https://github.com/jupyterlab/extension-template/security/advisories/GHSA-45gq-v5wm-82wg

最新版本:

https://github.com/jupyterlab/extension-template/releases

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!