Vulnerabilidad en Jupyter Notebook (CVE-2022-29238)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-425
Petición directa de recurso web
Fecha de publicación:
14/06/2022
Última modificación:
24/06/2022
Descripción
Jupyter Notebook es un entorno de cuadernos basado en la web para la computación interactiva. En versiones anteriores a 6.4.12, las peticiones autenticadas al servidor del cuaderno con "ContentsManager.allow_hidden = False" sólo impedían listar el contenido de los directorios ocultos, no acceder a archivos individuales ocultos o a los archivos de directorios ocultos (es decir, los archivos ocultos estaban "ocultos" pero no "inaccesibles"). Esto podría conllevar a que las configuraciones de los ordenadores portátiles permitieran el acceso autenticado a archivos que razonablemente fueran esperados a que no estuvieran permitidos. Dado que son requeridas peticiones totalmente autenticadas, esto presenta un impacto relativamente bajo. Pero si el directorio root de un servidor contiene archivos confidenciales cuya única protección frente al servidor es estar oculto (por ejemplo, "~/.ssh" mientras sirve $HOME), entonces cualquier petición autenticada podría acceder a los archivos si sus nombres son adivinables. Tales contextos también presentan necesariamente acceso completo al servidor y, por lo tanto, permisos de ejecución, lo que generalmente también otorga acceso a todos los mismos archivos. Por lo tanto, esto no suele resultar en una escalada de privilegios o a un aumento del acceso a la información, sino a un medio adicional e involuntario por el que podría accederse a los archivos. La versión 6.4.12 contiene un parche para este problema. Actualmente no son conocidas mitigaciones para este problema
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jupyter:notebook:*:*:*:*:*:*:*:* | 6.4.12 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página