python · jupyterlabAtenção
JupyterLab: Validação de URLs no Gerenciador de Extensões corrige XSS
O Gerenciador de Extensões do JupyterLab agora valida o protocolo de URLs vindas dos metadados de pacotes PyPI antes de renderizá-las como links clicáveis.
O que mudou
O Gerenciador de Extensões do JupyterLab agora valida o protocolo de URLs vindas dos metadados de pacotes PyPI antes de renderizá-las como links clicáveis. Antes, um pacote malicioso podia definir uma URL `javascript:` no campo `[project.urls]` Homepage, levando a XSS quando clicada.
Quem isso afeta
Usuários do JupyterLab com o Gerenciador de Extensões habilitado e usando a fonte PyPI padrão. Atacantes podem publicar um pacote malicioso no PyPI para explorar isso.
O que fazer hoje
Atualize o JupyterLab para a versão 4.5.9 ou superior para aplicar a correção.
A esteira
Coletado→
Auditado→
Redigido→
Publicado