CVE-2026-6657 in jupyter-serverinfo

Zusammenfassung

von VulDB • 03.06.2026

Eine Schwachstelle in jupyter-server in den Versionen 1.12.0 bis 2.17.0 ermöglicht es einem Angreifer, die CORS-Validierung des Ursprungs (Origin) zu umgehen, wenn die Konfiguration `allow_origin_pat` verwendet wird. Das Problem entsteht durch die Verwendung von `re.match()` zur Validierung des `Origin`-Headers, das nur am Anfang der Zeichenkette verankert ist. Dies ermöglicht es, angreiferkontrollierte Domänen wie `trusted.example.com.evil.com` die Validierung gegen Muster bestehen zu lassen, die ursprünglich für `trusted.example.com` gedacht waren. Die Schwachstelle betrifft mehrere Stellen im Code, einschließlich CORS-Headern, WebSocket-Verbindungen, Referer-Validierung und Login-Weiterleitungen, was potenziell Phishing-Angriffe, beliebige Code-Ausführung und unbefugten Zugriff auf sensible API-Antworten ermöglichen kann.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

@huntr Ai

Reservieren

20.04.2026

Veröffentlichung

03.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368151

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6657
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6657
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6657/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!