在广泛使用的 JupyterLab 扩展模板中发现了一个严重漏洞,编号为CVE-2024-39700 。此漏洞可能使攻击者能够在受影响的系统上远程执行代码,从而可能导致大范围入侵和数据泄露。
该漏洞源于在扩展创建过程中选择“测试”选项时自动生成“update-integration-tests.yml”工作流文件。这个旨在方便测试的工作流文件不幸包含一个漏洞,可利用该漏洞未经授权控制托管 JupyterLab 扩展的底层系统。
负责管理通用漏洞和暴露 (CVE) 系统的 GitHub 已将 CVE-2024-39700 漏洞的 CVSSv3.1 基本评分定为9.9,这是最高严重性评级。这强调了用户立即采取行动降低风险的紧迫性。
使用易受攻击的模板创建 JupyterLab 扩展并将其代码托管在 GitHub 上的开发人员面临的风险最大。攻击者可能会利用此漏洞注入恶意代码、窃取敏感数据或破坏操作。
为了防止潜在的攻击,强烈建议开发人员遵循以下步骤:
更新:立即将JupyterLab扩展模板升级到最新版本。
覆盖:使用更新模板中提供的版本替换“update-integration-tests.yml”文件。请谨慎重新应用任何自定义设置。
禁用(暂时):停用 GitHub Actions,直到更新过程完成。
重新定基:确保所有来自不受信任来源的开放拉取请求都经过重新定基,以包含安全修复程序。
从 4.3.0 之前的模板版本升级的开发人员应注意,发布工作流程可能需要额外的配置调整。
漏洞相关信息:
https://github.com/jupyterlab/extension-template/security/advisories/GHSA-45gq-v5wm-82wg
最新版本:
https://github.com/jupyterlab/extension-template/releases