A path traversal vulnerability exists in jupyter-server version 2.17.0 due to an incorrect root directory boundary check in the _get_os_path() function within jupyter_server/services/contents/fileio.py. The check uses startswith(root) without appending a trailing path separator, allowing sibling directories with names starting with the same prefix as root_dir to bypass the check. Additionally, the to_os_path() function in utils.py does not strip ".." from path parts, enabling traversal sequences to bypass the vulnerable check. This vulnerability can lead to unauthorized read/write access to files in sibling directories, potentially exposing sensitive data in shared hosting environments.
A path traversal vulnerability in Jupyter Server 2.17.0 allows attackers to bypass directory boundary checks and access files outside the intended root directory through specially crafted paths. This vulnerability affects shared hosting environments where multiple users may have access to the same server instance.
تحتوي ثغرة CWE-23 على فحص غير صحيح لحدود المجلد الجذر في دالة _get_os_path() حيث يستخدم startswith بدون فاصل مسار نهائي. تسمح الثغرة للمهاجمين بالوصول إلى الملفات في المجلدات الشقيقة والملفات الحساسة في بيئات الاستضافة المشتركة.
ثغرة في خادم Jupyter 2.17.0 تسمح للمهاجمين بتجاوز فحوصات حدود المجلدات والوصول إلى الملفات خارج المجلد المقصود. تؤثر هذه الثغرة على بيئات الاستضافة المشتركة حيث قد يكون لعدة مستخدمين إمكانية الوصول إلى نفس مثيل الخادم.
Update Jupyter Server to version 2.17.1 or later immediately. Implement strict input validation with proper path normalization including trailing separators. Apply principle of least privilege for file system access. Monitor and audit file access patterns in Jupyter environments. Consider using chroot or containerization to isolate user environments.
قم بتحديث خادم Jupyter إلى الإصدار 2.17.1 أو أحدث فوراً. طبق التحقق الصارم من المدخلات مع تطبيع المسارات بشكل صحيح. طبق مبدأ أقل صلاحية للوصول إلى نظام الملفات. راقب وتدقيق أنماط الوصول إلى الملفات. فكر في استخدام chroot أو الحاويات لعزل بيئات المستخدمين.