在广泛使用的 JupyterLab 扩展模板中发现了一个严重漏洞，编号为CVE-2024-39700 。此漏洞可能使攻击者能够在受影响的系统上远程执行代码，从而可能导致大范围入侵和数据泄露。

该漏洞源于在扩展创建过程中选择“测试”选项时自动生成“update-integration-tests.yml”工作流文件。这个旨在方便测试的工作流文件不幸包含一个漏洞，可利用该漏洞未经授权控制托管 JupyterLab 扩展的底层系统。

负责管理通用漏洞和暴露 (CVE) 系统的 GitHub 已将 CVE-2024-39700 漏洞的 CVSSv3.1 基本评分定为9.9，这是最高严重性评级。这强调了用户立即采取行动降低风险的紧迫性。

使用易受攻击的模板创建 JupyterLab 扩展并将其代码托管在 GitHub 上的开发人员面临的风险最大。攻击者可能会利用此漏洞注入恶意代码、窃取敏感数据或破坏操作。

为了防止潜在的攻击，强烈建议开发人员遵循以下步骤：

更新：立即将JupyterLab扩展模板升级到最新版本。

覆盖：使用更新模板中提供的版本替换“update-integration-tests.yml”文件。请谨慎重新应用任何自定义设置。

禁用（暂时）：停用 GitHub Actions，直到更新过程完成。
重新定基：确保所有来自不受信任来源的开放拉取请求都经过重新定基，以包含安全修复程序。

从 4.3.0 之前的模板版本升级的开发人员应注意，发布工作流程可能需要额外的配置调整。

漏洞相关信息：

https://github.com/jupyterlab/extension-template/security/advisories/GHSA-45gq-v5wm-82wg

最新版本：

https://github.com/jupyterlab/extension-template/releases