Описание
jupyterhub-ltiauthenticator is a JupyterHub authenticator for learning tools interoperability (LTI). LTI13Authenticator that was introduced in jupyterhub-ltiauthenticator 1.3.0 wasn't validating JWT signatures. This is believed to allow the LTI13Authenticator to authorize a forged request. Only users that has configured a JupyterHub installation to use the authenticator class LTI13Authenticator are affected. jupyterhub-ltiauthenticator version 1.4.0 removes LTI13Authenticator to address the issue. No known workarounds are available.
Ссылки
- Product
- Release Notes
- Vendor Advisory
Уязвимые конфигурации
EPSS
10 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
Связанные уязвимости
LTI JupyterHub Authenticator does not properly validate JWT Signature
Уязвимость функции LTI13Authenticator аутентификатора для JupyterHub jupyterhub-ltiauthenticator, связанная с ошибками проверки криптографической подписи, позволяющая нарушителю выполнить удаленный код, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
EPSS
10 Critical
CVSS3
9.8 Critical
CVSS3