Vulnerabilidad en jupyterlab (CVE-2024-43805)

jupyterlab es un entorno extensible para computación interactiva y reproducible, basado en la arquitectura Jupyter Notebook. Esta vulnerabilidad depende de la interacción del usuario al abrir un notebook malicioso con celdas Markdown o un archivo Markdown utilizando la función de vista previa de JupyterLab. Un usuario malicioso puede acceder a cualquier dato al que tenga acceso el usuario atacado, así como realizar solicitudes arbitrarias actuando como el usuario atacado. JupyterLab v3.6.8, v4.2.5 y Jupyter Notebook v7.2.2 han sido parcheados para resolver este problema. Se recomienda a los usuarios que actualicen. No existe un workaround para la susceptibilidad subyacente de DOM Clobbering. Sin embargo, se pueden deshabilitar complementos seleccionados en implementaciones que no se pueden actualizar de manera oportuna para minimizar el riesgo. Estos son: 1. `@jupyterlab/mathjax-extension:plugin`: los usuarios perderán la capacidad de obtener una vista previa de ecuaciones matemáticas. 2. `@jupyterlab/markdownviewer-extension:plugin`: los usuarios perderán la capacidad de abrir vistas previas de Markdown. 3. `@jupyterlab/mathjax2-extension:plugin` (si se instala con el paquete opcional `jupyterlab-mathjax2`): una versión anterior del complemento mathjax para JupyterLab 4.x. Para deshabilitar estas extensiones, ejecute: ```jupyter labextension deshabilitar @jupyterlab/markdownviewer-extension:plugin && jupyter labextension deshabilitar @jupyterlab/mathjax-extension:plugin && jupyter labextension deshabilitar @jupyterlab/mathjax2-extension:plugin ``` en bash.