CVE-2026-40110 in jupyter_serverinfo

Zusammenfassung

von VulDB • 22.05.2026

Jupyter Server ist das Backend für Jupyter-Webanwendungen. In den Versionen 2.17.0 und früher verwendet die Validierung des Origin-Headers Python's `re.match()`, um eingehende Origins gegen den Konfigurationswert `allow_origin_pat` zu prüfen. Da `re.match()` nur am Anfang der Zeichenkette ansetzt und kein vollständiges Match erfordert, wird ein Muster, das nur eine vertrauenswürdige Domain (z. B. `trusted.example.com`) matchen soll, auch jeden Origin matchen, der mit dieser Domain beginnt, gefolgt von zusätzlichen Zeichen (z. B. `trusted.example.com.evil.com`). Ein Angreifer, der eine solche Domain kontrolliert, kann die CORS-Origin-Einschränkung umgehen und Cross-Origin-Anfragen an die Jupyter-Server-API von einer nicht vertrauenswürdigen Site aus durchführen. Dieses Problem wurde in Version 2.18.0 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

09.04.2026

Veröffentlichung

06.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361253

CPE

bereit

CWE

CWE-777 (bestätigt)

CVSS

6.3 (VulDB)

EPSS

0.00012

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40110
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40110
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40110/

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!