Solara /static/nbextensions/ 文件读取漏洞（CVE-2024-39903）

Solara是一个用于扩展Jupyter和Web应用程序的纯Python、React风格的框架。在widgetti/solara的<1.35.1版本中发现了本地文件包含（LFI）漏洞，该漏洞已在版本1.35.1中得到修复。该漏洞是由于应用程序在提供静态文件时未能正确验证URI片段中的目录遍历序列（如'../'）而产生的。攻击者可以通过操纵URI的片段部分来读取本地文件系统中的任意文件，从而利用这一缺陷。