概述

2022 年 1 月 5 日，我们获悉 Streamlit Cloud 平台存在一个潜在漏洞，该漏洞随 2021 年 11 月 30 日发布的新功能引入。经过内部全面分析，我们在此期间未发现恶意活动的证据。我们已于 1 月 5 日修补了该漏洞，并已采取额外措施保护我们的用户。

问题是什么？

在此期间，受邀访问 Streamlit 应用的用户可能能够看到同一工作区内比他们受邀查看的应用范围更广的 Streamlit 应用列表。用户按预期会看到工作区中他们受邀访问的所有公共应用和应用的列表。然而，用户也可能会看到工作区内其他至少有一名受邀查看者的私有应用的列表。这是我们代码中一个非常小的边缘情况，仅影响少数工作区和查看者。

请注意，除非明确受邀，尽管这些用户可以列出这些应用（即查看应用元数据），但他们无法访问应用本身（即查看其内容或与之交互）。可见的元数据仅限于与每个应用关联的 GitHub 组织、仓库名称、分支和文件名。

如何发现的？

此漏洞是由我们的内部员工在质量保证（QA）期间发现的。

我们如何应对？

在检测到该问题后数小时内，我们发布了一个更改，通过修正用于列出 Streamlit Cloud 工作区中应用的过滤条件来缓解此问题。

谁受到了影响？

自 2021 年 11 月 30 日以来分享过任何应用的用户可能受到了影响。在许多情况下，应用通常在组织内部或与受信任的第三方共享。披露的信息是关于 Streamlit 应用的元数据，通常不敏感。出于谨慎考虑，我们决定将其作为公告披露。

我们如何防止将来出现此类问题？

针对此事件，我们正在重新评估处理数据库查询的流程和工具，并改进我们的测试实践。最后，我们正在改进部署工具和流程，以便将来更快地缓解问题。