JupyterLabの機能拡張作成用テンプレートに脆弱性 - リポジトリに影響

JupyterLabの機能拡張向けテンプレート「JupyterLab extension template」に脆弱性が明らかとなった。テンプレートを使用して作成されたリポジトリが影響を受ける。

同テンプレートの「test」オプションを使用して作成されたリポジトリにおいて、リモートよりコードを実行されるおそれがあるワークフロー「update-integration-tests.yml」が生成される脆弱性「CVE-2024-39700」が明らかとなったもの。

CVE番号を採番したGitHubは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」、重要度を「クリティカル（Critical）」とレーティングしている。

GitHubでコードをホストしている場合は、最新バージョンに更新し、「update-integration-tests.yml」を最新のテンプレートで上書きした上で、変更内容を再度適用するよう求めている。

またアップデートを行うまで、GitHub Actionsを一時無効にすることや、信頼できないユーザーからのすべてのオープンプルリクエストをリベースすることを推奨している。また「同4.3.0」以前からアップグレードする場合は追加の設定が必要としている。

（Security NEXT - 2024/07/23 ）ツイート