Vulnerabilidad en la cuenta de cualquier usuario en FirstUseAuthenticator (CVE-2021-41194)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/10/2021
Última modificación:
03/11/2021
Descripción
FirstUseAuthenticator es un autentificador de JupyterHub que ayuda a los nuevos usuarios a establecer su contraseña en su primer acceso a JupyterHub. Cuando es usado JupyterHub con FirstUseAuthenticator, una vulnerabilidad en versiones anteriores a 1.0.0, permite el acceso no autorizado a la cuenta de cualquier usuario si "create_users=True" y el nombre de usuario es conocido o adivinado. Es posible actualizar a la versión 1.0.0 o aplicar un parche manualmente para mitigar la vulnerabilidad. Para aquellos que no puedan actualizar, no se presenta una solución completa, pero se presenta una mitigación parcial. Es posible deshabilitar la creación de usuarios con "c.FirstUseAuthenticator.create_users = False", que sólo permitirá el inicio de sesión con nombres de usuario totalmente normalizados para los usuarios ya existentes antes de jupyterhub-firstuserauthenticator versión 1.0.0. Si algún usuario nunca ha iniciado sesión con su nombre de usuario normalizado (es decir, en minúsculas), seguirá siendo vulnerable hasta que se aplique un parche o se actualice
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jupyterhub:first_use_authenticator:*:*:*:*:*:*:*:* | 1.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página