CVE-2026-33587
KrytyczneStreszczenie
Brak sanitizacji danych wejściowych użytkownika w Open Notebook v1.8.3 umożliwia wykonanie kodu Pythona (a następnie poleceń systemowych) w kontenerze docker poprzez wstrzyknięcie szablonu po stronie serwera (SSTI) dla transformacji tworzonych przez użytkownika.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemu oraz wykonania dowolnych poleceń w kontenerze, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz aktualizację do najnowszej wersji Open Notebook, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Lack of user input sanitisation in Open Notebook v1.8.3 allows the application user to execute Python code (and subsequently OS commands) on the docker container via Server-Side Template Injection (SSTI) for user-created transformations.

