Krytyczna luka SSTI w open-notebook v1.8.3 umożliwia wykonanie kodu Python w kontenerze
Luka SSTI w open-notebook v1.8.3 pozwala na wykonanie kodu Python w kontenerze Docker. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.2 CRITICAL
- EPSS
- 13.71%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- open-notebook
Co wiadomo
W open-notebook w wersji 1.8.3 brak sanitizacji danych wejściowych użytkownika pozwala na wykonanie kodu Python, a następnie poleceń systemowych w kontenerze Docker poprzez Server-Side Template Injection (SSTI) w transformacjach tworzonych przez użytkownika. Luka ma ocenę CVSS 9.2 i jest krytyczna.
Wpływ biznesowy
Ta luka umożliwia atakującemu wykonanie dowolnego kodu w środowisku kontenera, co może prowadzić do przejęcia kontroli nad aplikacją i potencjalnie całym systemem hostującym. W środowiskach produkcyjnych wykorzystujących open-notebook istnieje ryzyko poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji lub poprawek od dostawcy lfnovo dla open-notebook. W międzyczasie zaleca się ograniczenie dostępu do funkcji transformacji użytkownika, monitorowanie logów pod kątem podejrzanej aktywności oraz ograniczenie ekspozycji kontenerów na nieautoryzowany dostęp.