Python 库 jupyter_core < 5.8.0 未受控制的搜索路径

high Nessus 插件 ID 237906

语言：

简介

远程 Windows 主机上安装的 Python 库受到不受控制的搜索路径漏洞影响。

描述

检测到 Python 程序包 jupyter_core 版本低于 5.8.0。因此，该应用程序受到 GHSA-33p9-3p43-82vq 公告中说明的一个漏洞影响。Jupyter Core 是用于 Jupyter 项目的核心通用功能的程序包。在 Windows 上使用低于版本 5.8.0 的 Jupyter Core 时，会搜索共享的“%PROGRAMDATA%”目录以寻找配置文件（“SYSTEM_CONFIG_PATH”和“SYSTEM_JUPYTER_PATH”），可能允许用户创建影响其他用户的配置文件。仅包含多个用户的共享 Windows 系统和未受保护的“%PROGRAMDATA%”受到影响。用户应将版本升级到 Jupyter Core 5.8.0 或更高版本以接收修补程序。还提供了一些其他缓解措施。以管理员身份，修改“%PROGRAMDATA%”目录的权限，使其无法被未经授权的用户写入；或以管理员身份创建权限具有适当限制的“%PROGRAMDATA%\jupyter”目录；或作为用户或管理员，将“%PROGRAMDATA%”环境变量设置为具有适当限制权限（例如，由管理员或当前用户控制）的目录。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。