发布日期：2025-04-03
更新日期：2025-06-24

受影响系统：

JupyterLab jupyterlab-git

描述：

---

CVE(CAN) ID: CVE-2025-30370

jupyterlab-git是JupyterLab开源的一个JupyterLab的Git扩展。
jupyterlab-git存在OS命令注入漏洞，当用户在包含不恰当命名的Git仓库目录的父目录中启动jupyter-lab并通过菜单栏操作“Git > Open Git Repository in Terminal”时，jupyterlab-git扩展会打开终端并运行cd <git-repo-path>命令来设置当前工作目录，由于该命令包含shell命令替换字符串，攻击者可利用该漏洞执行任意代码。

<**>

建议：

---

厂商补丁：

JupyterLab
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/jupyterlab/jupyterlab-git/releases/tag/v0.51.1

浏览次数：38
严重程度：0（网友投票）