漏洞信息
# jupyterlab扩展模板中的远程代码执行(RCE)漏洞`update-integration-tests`GitHub操作
## 概述
JupyterLab extension template 使用 `copier` 模板创建的仓库在包含 `test` 选项时,其中包含的 `update-integration-tests.yml` 工作流存在 RCE(远程代码执行)漏洞。建议扩展作者将模板升级到最新版本。
## 影响版本
- 所有使用 `test` 选项创建的模板版本低于 4.3.0 的仓库
## 细节
- 仓库使用 `copier` 模板创建且包含 `test` 选项时,会生成一个存在 RCE 漏洞的 `update-integration-tests.yml` 工作流文件。
- 作者应升级至最新版本的模板。
- 对于修改过 `update-integration-tests.yml` 的用户,建议接受文件覆盖,并在之后重新应用更改。
- 建议暂停 GitHub Actions 直到升级完成。
- 从不受信任用户处创建的拉取请求,建议从主分支重新合并。
- 从低于 4.3.0 版本的模板升级用户,暂时可以选择不应用针对发布工作流的提议更改,因为这可能需要额外配置。
## 影响
- 存在 RCE(远程代码执行)漏洞,可能导致恶意代码执行。
- 仓库被利用前需要升级模板和更新相关文件配置。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote Code Execution (RCE) vulnerability in jupyterlab extension template `update-integration-tests` GitHub Action
漏洞描述信息
JupyterLab extension template is a `copier` template for JupyterLab extensions. Repositories created using this template with `test` option include `update-integration-tests.yml` workflow which has an RCE vulnerability. Extension authors hosting their code on GitHub are urged to upgrade the template to the latest version. Users who made changes to `update-integration-tests.yml`, accept overwriting of this file and re-apply your changes later. Users may wish to temporarily disable GitHub Actions while working on the upgrade. We recommend rebasing all open pull requests from untrusted users as actions may run using the version from the `main` branch at the time when the pull request was created. Users who are upgrading from template version prior to 4.3.0 may wish to leave out proposed changes to the release workflow for now as it requires additional configuration.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
JupyterLab 安全漏洞
漏洞描述信息
JupyterLab是JupyterLab开源的一个用于交互式和可重复计算的可扩展环境,基于 Jupyter Notebook 和架构。 JupyterLab 4.3.3之前版本存在安全漏洞,该漏洞源于存在远程代码执行。
CVSS信息
N/A
漏洞类别
其他