一、 漏洞 CVE-2025-32428 基础信息
漏洞标题
Jupyter 远程桌面代理使 TigerVNC 可以通过网络访问,而不仅仅是通过预期的 UNIX 套接字访问
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Jupyter Remote Desktop Proxy 允许在 JupyterHub 上运行一个 Linux 桌面,但在特定情况下存在安全漏洞。 ## 影响版本 - **影响版本**: 3.0.0 到 3.0.1 - **修复版本**: 3.0.1 ## 细节 从版本 3.0.0 开始,jupyter-remote-desktop-proxy 应该依赖于仅当前用户可读的 UNIX 套接字。然而,在与 TigerVNC 结合使用时,由 jupyter-remote-desktop-proxy 启动的 VNC 服务器仍可通过网络访问。如果使用的 vncserver 可执行文件为 TurboVNC,则不会受到此漏洞的影响。 ## 影响 由于该漏洞,TigerVNC 用户可能会暴露其远程桌面连接至网络攻击者。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Jupyter Remote Desktop Proxy makes TigerVNC accessible via the network and not just via a UNIX socket as intended
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jupyter Remote Desktop Proxy allows you to run a Linux Desktop on a JupyterHub. jupyter-remote-desktop-proxy was meant to rely on UNIX sockets readable only by the current user since version 3.0.0, but when used with TigerVNC, the VNC server started by jupyter-remote-desktop-proxy were still accessible via the network. This vulnerability does not affect users having TurboVNC as the vncserver executable. This issue is fixed in 3.0.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
将资源暴露给错误范围
来源:美国国家漏洞数据库 NVD
漏洞标题
Jupyter Remote Desktop Proxy 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Jupyter Remote Desktop Proxy是JupyterHub开源的一个应用程序。 Jupyter Remote Desktop Proxy 3.0.1之前版本存在安全漏洞,该漏洞源于与TigerVNC使用时VNC服务器仍可通过网络访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-32428 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-32428 的情报信息
  • 标题: TigerVNC accessible via the network and not just via a UNIX socket as intended · Advisory · jupyterhub/jupyter-remote-desktop-proxy · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

  • 标题: Merge pull request #151 from consideRatio/pr/verify-port · jupyterhub/jupyter-remote-desktop-proxy@7dd54c2 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

  • https://nvd.nist.gov/vuln/detail/CVE-2025-32428