CVE-2025-59842Низкий
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
В jupyterlab версии до 4.4.8 обнаружена уязвимость, связанная с отсутствием атрибута 'noopener' в ссылках, сгенерированных с помощью LaTeX …
CVSS
2.1
Низкий
EPSS
0.00
p8
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание
В jupyterlab версии до 4.4.8 обнаружена уязвимость, связанная с отсутствием атрибута 'noopener' в ссылках, сгенерированных с помощью LaTeX в файлах Markdown. Хотя по умолчанию эта уязвимость не оказывает влияния на стандартные установки JupyterLab, потенциально она может быть использована злоумышленниками для атак типа 'reverse tabnabbing', если сторонние расширения для рендеринга LaTeX содержат уязвимости. Исправление доступно в версии 4.4.8 [1]. Источники: - [1] https://github.com/jupyterlab/jupyterlab/security/advisories/GHSA-vvfj-2jqx-52jm - [2] https://github.com/jupyterlab/jupyterlab/commit/88ef373039a8cc09f27d3814382a512d9033675c
Теги · CWE
Без аутентификации
CWE-1022
CWE-1022ВариантНеполный
Использование веб-ссылки на недоверенный ресурс с доступом к window.opener
Веб-приложение формирует ссылки на недоверенные внешние сайты вне своей сферы контроля, однако не предотвращает надлежащим образом изменение внешним сайтом критически важных для безопасности свойств объекта window.opener, таких как свойство location.
https://cwe.mitre.org/data/definitions/1022.html →Открыть в коллекции CWE →Затронутые продукты
Jupyterlab < 4.4.8
Вектор CVSS
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требования к атаке
AT: P
Present
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: A
Active
Конфиденциальность уязвимой системы
VC: L
Низкое (L)
Целостность уязвимой системы
VI: N
Отсутствует (N)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.000 · p8
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Уязвимое ПО
| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| jupyterlab | Отслеживается | |
| jupyterlab | Отслеживается | |
| jupyterlab | Отслеживается | |
| jupyterlab | * | Отслеживается |
Источники данных
ANC
ANC
Коррекции базы Anchore
Дополнительная лента, накладываемая поверх upstream-источников. Мейнтейнеры Anchore публикуют корректирующие записи, чтобы подавить известные ложные срабатывания и восполнить пробелы в CPE/PURL, из-за которых Grype и аналогичные сканеры могут некорректно оценить систему.
Регион
США
Обновления
6 ч
Лицензия
Apache-2.0
Выверенные коррекции базы уязвимостей Anchore/Grype: подавление ложных срабатываний, недостающие привязки CPE и дистрибутив-специфичные бэкпорты исправлений.
https://github.com/anchore/grype-db →DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →UBU
UBU
Бюллетени безопасности Ubuntu (USN)
USN являются авторитетным источником для систем Ubuntu. CVE Tracker связывает каждую уязвимость со статусом по релизам (needed, released, not-affected) и с конкретной ошибкой в Launchpad, в которой интегрировано исправление.
Регион
Международно
Обновления
1 ч
Лицензия
CC BY-SA 3.0
Бюллетени безопасности для LTS- и промежуточных релизов Ubuntu: пакеты main, universe и (через Ubuntu Pro) ESM-расширенные.
https://ubuntu.com/security/notices →