1. 受影响产品

Streamlit 开源版本

2. 引言

Streamlit 安全团队于 2022 年 7 月 27 日太平洋标准时间 (PST) 上午 4:57 得知 Streamlit 开源库 中存在漏洞。随后，我们于 2022 年 7 月 27 日太平洋标准时间 (PST) 下午 2:20 发布了该漏洞的补丁。所有用户应立即将其 Streamlit 开源代码升级到 1.11.1 版本。

此漏洞不影响 Streamlit Cloud。

3. 目录遍历漏洞

3.1 描述

Streamlit 通过支持邮箱获知我们的开源代码中存在使用自定义组件时的目录遍历漏洞。Streamlit 已评估此问题的严重性，并确定其处于中等范围，最大 CVSSv3 基础得分为 6.5。

3.2 场景和攻击向量

托管使用自定义组件的 Streamlit 应用的用户容易受到目录遍历攻击，该攻击可能导致其 Web 服务器文件系统中的数据泄露，例如：服务器日志、所有用户可读文件以及其他潜在的敏感信息。

攻击者可以构造包含文件路径的恶意 URL，Streamlit 服务器会处理该 URL 并返回该文件的内容。

3.3 我们的回应和后续步骤

我们于 7 月 27 日太平洋标准时间 (PST) 下午 2:20 在 1.11.1 版本中发布了补丁。此补丁确保任何文件操作仅限于自定义组件目录，并且无法遍历到该目录之外。我们强烈建议用户尽快升级到 v1.11.1。我们已将此问题通知 Streamlit 社区和流行的托管服务提供商，以便他们能够快速打补丁。作为预防措施，我们还在 Streamlit Cloud 上尽可能为所有用户进行升级。我们将继续检查此漏洞的其他出现位置，并在任何可能的地方监控潜在的攻击。

最后，作为一项普遍的安全实践，我们建议用户在使用自定义组件之前检查其中是否存在恶意代码。遵循安全最佳实践，例如以低权限运行 Web 服务器、使用防火墙等来托管您的应用，有助于减轻此类攻击的严重性。

3.4 解决方法

请将您的 Streamlit 升级到最新版本：1.11.1。

3.5 临时解决方案

无。

4. 联系方式

如有任何问题，请联系 security@streamlit.io。请根据我们的政策通过 HackerOne 报告任何安全问题。