Komponent `jupyterhub-ltiauthenticator` w wersji 1.3.0 nie weryfikował podpisów JWT w klasie `LTI13Authenticator`, co umożliwia atakującemu autoryzację sfałszowanych żądań. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.
▸ Pokaż oryginał (EN)
`jupyterhub-ltiauthenticator` is a JupyterHub authenticator for learning tools interoperability (LTI). LTI13Authenticator that was introduced in `jupyterhub-ltiauthenticator` 1.3.0 wasn't validating JWT signatures. This is believed to allow the LTI13Authenticator to authorize a forged request. Only users that has configured a JupyterHub installation to use the authenticator class `LTI13Authenticator` are affected. `jupyterhub-ltiauthenticator` version 1.4.0 removes LTI13Authenticator to address the issue. No known workarounds are available.
Klasa `LTI13Authenticator`, wprowadzona w wersji 1.3.0, implementuje uwierzytelnianie oparte na protokole LTI 1.3 przy użyciu tokenów JWT. Błąd polega na braku weryfikacji podpisu kryptograficznego tokena JWT (CWE-347 — Improper Verification of Cryptographic Signature). Atakujący może skonstruować dowolny, sfałszowany token JWT i przesłać go do endpointu uwierzytelniającego, a system zaakceptuje go jako prawidłowy. Nie są wymagane żadne poświadczenia ani uprawnienia — atak jest możliwy zdalnie, bez interakcji użytkownika.
Atakujący może uzyskać nieautoryzowany dostęp do instancji JupyterHub, potencjalnie podszywając się pod dowolnego użytkownika, w tym administratora, co grozi pełnym przejęciem środowiska, ujawnieniem danych oraz naruszeniem integralności i dostępności systemu.
Należy zaktualizować `jupyterhub-ltiauthenticator` do wersji 1.4.0, w której klasa `LTI13Authenticator` została usunięta w celu wyeliminowania podatności. Producent nie udostępnia żadnych obejść (workarounds) — jedynym rozwiązaniem jest aktualizacja pakietu.
Instalacje JupyterHub korzystające z pakietu `jupyterhub-ltiauthenticator` w wersji 1.3.0, które zostały skonfigurowane do używania klasy uwierzytelniającej `LTI13Authenticator`.
Wersja 1.4.0 pakietu została wydana 2023-03-01 zgodnie z CHANGELOG projektu. Brak znanych workaroundów potwierdzony przez producenta w oficjalnym security advisory.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HJupyter Lti Jupyterhub Authenticator
APPJupyter1.3.0
Powiązane podatności
LTI JupyterHub Authenticator is a JupyterHub authenticator for LTI. Prior to version 1.6.3, the LTI 1.1 valida...
Stored XSS w Jupyter Server umożliwiający RCE przez nbconvert
RCE w szablonie rozszerzenia JupyterLab via GitHub Actions workflow
Reflected XSS w Jupyter Server Proxy — endpoint /proxy
Brak uwierzytelnienia przy proxy websocketów w Jupyter Server Proxy — RCE