CVSS评分:5.3
参考链接:https://github.com/advisories/GHSA-v9g2-g7j4-4jxc?utm_source=chatgpt.com
CVE-2024-28188_ Jupyter Scheduler 安全漏洞
- [1. 漏洞原理](#1. 漏洞原理)
- [2. 漏洞危害](#2. 漏洞危害)
- [3. 漏洞修复](#3. 漏洞修复)
1. 漏洞原理
漏洞来自 jupyter-scheduler 扩展中的一个 API 端点 GET /scheduler/runtime_environments 没有做认证。未认证的远程请求会收到服务器上 Conda 环境的名称列表。该列表本身不会直接允许修改、进入或执行这些环境,但可能泄露有关正在开发的项目、用到的包/框架版本或敏感工作线索。
2. 漏洞危害
环境名通常包含项目/实验名、内部代号或包含提示用途的命名。攻击者可据此推测目标组织的研究方向、技术栈或敏感项目。这些信息对后续社工、漏洞定向扫描、包/依赖漏洞匹配(比如已知库的漏洞)等有辅助价值,能降低攻击者侦察成本。
单凭环境名不会直接破坏系统,一般对于各大企业来说,此漏洞一般没有什么实际的危害。
3. 漏洞修复
升级到修复版本 :将 jupyter-scheduler 升级到官方已修复的版本之一(1.1.6 / 1.2.1 / 1.8.2 / 2.5.2)
https://github.com/advisories/GHSA-v9g2-g7j4-4jxc?utm_source=chatgpt.com