【漏洞复现】Jupyter Notebook未授权访问到RCE

影响范围

Jupyter Notebook

漏洞简介

Jupyter Notebook(此前被称为IPython notebook)是一个交互式笔记本，支持运行40多种编程语言，Jupyter Notebook的本质是一个Web应用程序，便于创建和共享程序文档，支持实时代码，数学方程，可视化和 markdown，如果管理员未为Jupyter Notebook配置密码将导致未授权访问漏洞，游客可在其中创建一个console并执行任意Python代码和命令

漏洞复现

应用页面如下所示：

在进入面板之后选择"New-Terminal"进入终端

随后可以执行任意命令：