ГлавнаяБаза уязвимостей БДУ → BDU:2025-03877
5.7высокая

BDU:2025-03877

Уязвимость элемента управления «Open Git Repository in Terminal» («Открыть репозиторий Git в терминале») расширения jupyterlab-git веб-ориентированной интерактивной среды разработки JupyterLab, позволяющая нарушителю получить доступ на чтение и изменение данных и выполнить произвольные команды
Опубликовано: 2025-04-07
Описание

Уязвимость элемента управления «Open Git Repository in Terminal» («Открыть репозиторий Git в терминале») расширения jupyterlab-git веб-ориентированной интерактивной среды разработки JupyterLab связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение и изменение данных и выполнить произвольные команды

Затрагиваемое ПО и версии
jupyterlab-git (до 0.51.0 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/jupyterlab/jupyterlab-git/commit/b46482993f76d3a546015c6a94ebed8b77fc2376
https://github.com/jupyterlab/jupyterlab-git/releases/tag/v0.51.1

Компенсирующие меры:
В случае невозможности установки обновлений пользователям рекомендуется воспользоваться одним из возможных способов:
1. Отключите терминалы на уровне jupyter-server:
c.ServerApp.terminals_enabled = False

2. Отключите расширение сервера терминалов:
jupyter server extension disable jupyter_server_terminals

3. Отключите расширение lab:
jupyter labextension disable @jupyterlab/terminal-extension

Оценка CVSS
Балл5.7 — высокая опасность
Источники и патчи
https://github.com/jupyterlab/jupyterlab-git/security/advisories/GHSA-cj5w-8mjf-r5f8https://github.com/jupyterlab/jupyterlab-git/blob/7eb3b06f0092223bd5494688ec264527bbeb2195/src/commandsAndMenu.tsx#L175-L184https://github.com/jupyterlab/jupyterlab-git/commit/b46482993f76d3a546015c6a94ebed8b77fc2376https://github.com/jupyterlab/jupyterlab-git/pull/1196
Проверьте безопасность своего сайта и почты → Полная проверка домена