影响范围
Jupyter Notebook
漏洞简介
Jupyter Notebook(此前被称为IPython notebook)是一个交互式笔记本,支持运行40多种编程语言,Jupyter Notebook的本质是一个Web应用程序,便于创建和共享程序文档,支持实时代码,数学方程,可视化和 markdown,如果管理员未为Jupyter Notebook配置密码将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令
漏洞复现
应用页面如下所示:
在进入面板之后选择"New-Terminal"进入终端
随后可以执行任意命令: