CVE-2024-28188_ Jupyter Scheduler 安全漏洞

CVSS评分:5.3

参考链接:https://github.com/advisories/GHSA-v9g2-g7j4-4jxc?utm_source=chatgpt.com

CVE-2024-28188_ Jupyter Scheduler 安全漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

漏洞来自 jupyter-scheduler 扩展中的一个 API 端点 GET /scheduler/runtime_environments 没有做认证。未认证的远程请求会收到服务器上 Conda 环境的名称列表。该列表本身不会直接允许修改、进入或执行这些环境,但可能泄露有关正在开发的项目、用到的包/框架版本或敏感工作线索。

2. 漏洞危害

环境名通常包含项目/实验名、内部代号或包含提示用途的命名。攻击者可据此推测目标组织的研究方向、技术栈或敏感项目。这些信息对后续社工、漏洞定向扫描、包/依赖漏洞匹配(比如已知库的漏洞)等有辅助价值,能降低攻击者侦察成本。

单凭环境名不会直接破坏系统,一般对于各大企业来说,此漏洞一般没有什么实际的危害。

3. 漏洞修复

升级到修复版本 :将 jupyter-scheduler 升级到官方已修复的版本之一(1.1.6 / 1.2.1 / 1.8.2 / 2.5.2)

https://github.com/advisories/GHSA-v9g2-g7j4-4jxc?utm_source=chatgpt.com

相关推荐
kali-Myon18 分钟前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
志栋智能21 分钟前
超自动化安全中的威胁狩猎
运维·安全·自动化
LYFlied1 小时前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
lularible3 小时前
HSM技术精讲(3.8):证书对象——数字世界的“身份证明“
安全·开源·嵌入式·汽车电子·hsm
德迅--文琪4 小时前
筑牢主机安全最后一公里,德迅卫士构建全维度智能防护屏障
安全
+wacyltd大模型备案算法备案4 小时前
大模型评估测试题库怎么建?风险分类、测试样本的完整方法
人工智能·算法·安全·分类·大模型·大模型备案·大模型上线登记
网络研究院5 小时前
Brave浏览器放大招引入容器功能,实现多账户安全隔离
网络·安全·容器·浏览器·数据·隐私
Hiyajo pray6 小时前
属性sdn隐私保护分析
网络安全
志栋智能7 小时前
超自动化安全如何优化安全运营成本?
人工智能·安全·自动化
jieyucx8 小时前
【系统安全铁律】解密 Linux 权限三色数字密码:chmod 最小化赋权与生产环境避坑指南
linux·安全·系统安全·权限·chmod·777