CVE-2026-23528Dask distributed是一个用于Python的分布式任务调度系统。在2026.1.0之前的版本中,当Jupyter Lab、jupyter-server-proxy和Dask distributed协同运行时,存在一个跨站脚本(XSS)漏洞。攻击者可以构造恶意URL,利用Dask dashboard中的XSS漏洞,通过Jupyter Lab代理打开错误页面,最终在受害者的默认Jupyter Python内核中执行任意代码。该漏洞需要用户交互才能触发,攻击者通常会诱导用户点击钓鱼链接,假设目标用户的Jupyter Lab和Dask运行在本地主机的默认端口上。
漏洞源于Dask dashboard在处理用户输入时未正确过滤或转义特殊字符,攻击者可在URL参数中注入恶意JavaScript代码。当用户通过Jupyter Lab代理访问Dask dashboard时,注入的脚本会在受害者的浏览器上下文中执行,进而通过Jupyter的内核通信机制执行Python代码。攻击流程涉及多个组件的交互:用户点击恶意链接 → Jupyter Lab代理转发请求 → Dask dashboard返回包含恶意脚本的页面 → 脚本在用户浏览器中执行 → 通过Jupyter内核API执行任意Python代码。