Уязвимость элемента управления «Open Git Repository in Terminal» («Открыть репозиторий Git в терминале») расширения jupyterlab-git веб-ориентированной интерактивной среды разработки JupyterLab связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение и изменение данных и выполнить произвольные команды
Использование рекомендаций:
https://github.com/jupyterlab/jupyterlab-git/commit/b46482993f76d3a546015c6a94ebed8b77fc2376
https://github.com/jupyterlab/jupyterlab-git/releases/tag/v0.51.1
Компенсирующие меры:
В случае невозможности установки обновлений пользователям рекомендуется воспользоваться одним из возможных способов:
1. Отключите терминалы на уровне jupyter-server:
c.ServerApp.terminals_enabled = False
2. Отключите расширение сервера терминалов:
jupyter server extension disable jupyter_server_terminals
3. Отключите расширение lab:
jupyter labextension disable @jupyterlab/terminal-extension
| Балл | 5.7 — высокая опасность |