漏洞信息详情
nbconvert 跨站脚本漏洞
- CNNVD编号:CNNVD-202208-3373
- 危害等级: 中危
- CVE编号: CVE-2021-32862
- 漏洞类型: 跨站脚本
- 发布时间: 2022-08-18
- 威胁类型: 远程
- 更新时间: 2022-08-22
- 厂 商:
- 漏洞来源:
漏洞简介
nbconvert是Project Jupyter开源的一个格式转换库。将 Jupyter .ipynb 笔记本文档文件转换为另一种静态格式,包括 HTML、LaTeX、PDF、Markdown 等。
nbconvert 6.3之前版本存在跨站脚本漏洞,该漏洞源于当使用nbconvert生成用户可控笔记本的HTML版本时,如果这些HTML笔记本由Web服务器(例如:nbviewer)提供服务,有可能注入任意的HTML,从而导致跨站脚本(XSS)漏洞。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/jupyter/nbconvert/security/advisories/GHSA-9jmq-rx5f-8jwq
参考网址
来源:CONFIRM
链接:https://github.com/jupyter/nbconvert/security/advisories/GHSA-9jmq-rx5f-8jwq
来源:MISC
链接:https://github.com/jupyter/nbviewer/security/advisories/GHSA-h274-fcvj-h2wm
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2021-32862/
受影响实体
暂无
补丁
- nbconvert 跨站脚本漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论