Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01679

Опубликовано: 05 авг. 2021
Источник: fstec
CVSS3: 9.6
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость компонента Caja среды создания документов блокнота Jupyter Notebook связана с некорректной фильтрацией специальных символов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Jupyter Development Team.

Наименование ПО

Debian GNU/Linux
Jupyter Notebook

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
6.4.0 (Jupyter Notebook)
от 5.7.0 до 5.7.11 (Jupyter Notebook)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Для Jupyter Notebook:
использование рекомендаций производителя: https://github.com/jupyter/notebook/security/advisories/GHSA-hwvq-6gjx-j797
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32798

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 45%
0.00226
Низкий

9.6 Critical

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-32798

CVSS3: 10
ubuntu
больше 4 лет назад

The Jupyter notebook is a web-based notebook environment for interactive computing. In affected versions untrusted notebook can execute code on load. Jupyter Notebook uses a deprecated version of Google Caja to sanitize user inputs. A public Caja bypass can be used to trigger an XSS when a victim opens a malicious ipynb document in Jupyter Notebook. The XSS allows an attacker to execute arbitrary code on the victim computer using Jupyter APIs.

nvd логотип

CVE-2021-32798

CVSS3: 10
nvd
больше 4 лет назад

The Jupyter notebook is a web-based notebook environment for interactive computing. In affected versions untrusted notebook can execute code on load. Jupyter Notebook uses a deprecated version of Google Caja to sanitize user inputs. A public Caja bypass can be used to trigger an XSS when a victim opens a malicious ipynb document in Jupyter Notebook. The XSS allows an attacker to execute arbitrary code on the victim computer using Jupyter APIs.

debian логотип

CVE-2021-32798

CVSS3: 10
debian
больше 4 лет назад

The Jupyter notebook is a web-based notebook environment for interacti ...

github логотип

GHSA-hwvq-6gjx-j797

CVSS3: 10
github
больше 4 лет назад

Special Element Injection in notebook

suse-cvrf логотип

openSUSE-SU-2024:0231-1

suse-cvrf
больше 1 года назад

Security update for python-notebook

EPSS

Процентиль: 45%
0.00226
Низкий

9.6 Critical

CVSS3

9.3 Critical

CVSS2