Критична вразливість SSTI в Open Notebook v1.8.3 дозволяє виконання коду
Вразливість SSTI в Open Notebook v1.8.3 дозволяє виконувати довільний код у контейнері Docker. Рекомендується перевірити оновлення та обмежити доступ.
- CVSS
- 9.2 CRITICAL
- EPSS
- 13.71%
- Активно використовується
- немає в KEV
- Продукт
- open-notebook
Що відомо
У Open Notebook v1.8.3 відсутня належна санітизація введення користувача, що дозволяє виконувати Python-код і команди ОС через Server-Side Template Injection (SSTI) у контейнері Docker. Це створює серйозну загрозу безпеці при обробці користувацьких трансформацій.
Бізнес-вплив
Вразливість з критичним рейтингом CVSS 9.2 може призвести до повного контролю над контейнером, де працює Open Notebook, що ставить під загрозу цілісність і доступність сервісів. Це особливо небезпечно для організацій, які використовують контейнеризовані середовища для обробки даних або автоматизації, оскільки зловмисник може виконувати довільний код на сервері.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від розробника lfnovo для Open Notebook. Якщо оновлення недоступні, слід обмежити доступ до сервісу, ретельно контролювати журнали подій на предмет підозрілої активності та мінімізувати права користувачів. Також варто розглянути ізоляцію контейнерів і застосування додаткових засобів захисту для зменшення ризиків.