漏洞标题
通过自我-XSS利用Cookie Tossing在JupyterHub中的XSS
漏洞描述信息
JupyterHub 是一个多用户开源服务器,用于管理 Jupyter 笔记本。攻击者可以通过欺骗用户访问恶意子域,从而实现直接影响前者会话的跨站脚本(XSS)攻击。
更具体地说,在 JupyterHub 的上下文中,这种 XSS 攻击可能会完全访问 JupyterHub API 以及用户的单用户服务器。
受影响的配置包括单一来源部署的 JupyterHub 和在 Hub 或单用户服务器的子域或对等子域上运行用户控制应用的 JupyterHub 部署。
此漏洞在 4.1.0 版本中已得到修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
XSS in JupyterHub via Self-XSS leveraged by Cookie Tossing
漏洞描述信息
JupyterHub is an open source multi-user server for Jupyter notebooks. By tricking a user into visiting a malicious subdomain, the attacker can achieve an XSS directly affecting the former's session. More precisely, in the context of JupyterHub, this XSS could achieve full access to JupyterHub API and user's single-user server. The affected configurations are single-origin JupyterHub deployments and JupyterHub deployments with user-controlled applications running on subdomains or peer subdomains of either the Hub or a single-user server. This vulnerability is fixed in 4.1.0.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
JupyterHub 安全漏洞
漏洞描述信息
JupyterHub是一款用于Jupyter的多用户服务器。 JupyterHub 4.1.0之前版本存在安全漏洞,该漏洞源于允许攻击者通过诱骗用户访问恶意子域,直接影响用户会话。
CVSS信息
N/A
漏洞类别
其他