CRITICAL🇬🇧 English

CVE-2023-25574

Brak walidacji podpisów JWT w jupyterhub-ltiauthenticator (LTI13)

CVSS 10.0v3.1pub. 2025-02-25upd. 2025-09-02

Komponent `jupyterhub-ltiauthenticator` w wersji 1.3.0 nie weryfikował podpisów JWT w klasie `LTI13Authenticator`, co umożliwia atakującemu autoryzację sfałszowanych żądań. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.

Pokaż oryginał (EN)

`jupyterhub-ltiauthenticator` is a JupyterHub authenticator for learning tools interoperability (LTI). LTI13Authenticator that was introduced in `jupyterhub-ltiauthenticator` 1.3.0 wasn't validating JWT signatures. This is believed to allow the LTI13Authenticator to authorize a forged request. Only users that has configured a JupyterHub installation to use the authenticator class `LTI13Authenticator` are affected. `jupyterhub-ltiauthenticator` version 1.4.0 removes LTI13Authenticator to address the issue. No known workarounds are available.

🤖 Analiza AI
Jak działa

Klasa `LTI13Authenticator`, wprowadzona w wersji 1.3.0, implementuje uwierzytelnianie oparte na protokole LTI 1.3 przy użyciu tokenów JWT. Błąd polega na braku weryfikacji podpisu kryptograficznego tokena JWT (CWE-347 — Improper Verification of Cryptographic Signature). Atakujący może skonstruować dowolny, sfałszowany token JWT i przesłać go do endpointu uwierzytelniającego, a system zaakceptuje go jako prawidłowy. Nie są wymagane żadne poświadczenia ani uprawnienia — atak jest możliwy zdalnie, bez interakcji użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do instancji JupyterHub, potencjalnie podszywając się pod dowolnego użytkownika, w tym administratora, co grozi pełnym przejęciem środowiska, ujawnieniem danych oraz naruszeniem integralności i dostępności systemu.

Mitygacja

Należy zaktualizować `jupyterhub-ltiauthenticator` do wersji 1.4.0, w której klasa `LTI13Authenticator` została usunięta w celu wyeliminowania podatności. Producent nie udostępnia żadnych obejść (workarounds) — jedynym rozwiązaniem jest aktualizacja pakietu.

Kogo dotyczy

Instalacje JupyterHub korzystające z pakietu `jupyterhub-ltiauthenticator` w wersji 1.3.0, które zostały skonfigurowane do używania klasy uwierzytelniającej `LTI13Authenticator`.

Uwagi

Wersja 1.4.0 pakietu została wydana 2023-03-01 zgodnie z CHANGELOG projektu. Brak znanych workaroundów potwierdzony przez producenta w oficjalnym security advisory.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Jupyter Lti Jupyterhub Authenticator

    APP
    Jupyter
    1.3.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-34052MEDIUM5.9ten sam produkt

LTI JupyterHub Authenticator is a JupyterHub authenticator for LTI. Prior to version 1.6.3, the LTI 1.1 valida...

CVE-2026-44727CRITICAL9.3PL ✓ten sam vendor

Stored XSS w Jupyter Server umożliwiający RCE przez nbconvert

CVE-2024-39700CRITICAL9.9PL ✓ten sam vendor

RCE w szablonie rozszerzenia JupyterLab via GitHub Actions workflow

CVE-2024-35225CRITICAL9.6PL ✓ten sam vendor

Reflected XSS w Jupyter Server Proxy — endpoint /proxy

CVE-2024-28179CRITICAL9.0PL ✓ten sam vendor

Brak uwierzytelnienia przy proxy websocketów w Jupyter Server Proxy — RCE