Katalog CVE

CVE-2026-33587

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Brak sanitizacji danych wejściowych użytkownika w Open Notebook v1.8.3 umożliwia wykonanie kodu Pythona (a następnie poleceń systemowych) w kontenerze docker poprzez wstrzyknięcie szablonu po stronie serwera (SSTI) dla transformacji tworzonych przez użytkownika.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemu oraz wykonania dowolnych poleceń w kontenerze, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację do najnowszej wersji Open Notebook, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

Lack of user input sanitisation in Open Notebook v1.8.3 allows the application user to execute Python code (and subsequently OS commands) on the docker container via Server-Side Template Injection (SSTI) for user-created transformations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS