CVE-2026-40110 in jupyter_serverinformación

Resumen

por VulDB • 2026-05-14

Jupyter Server es el backend para las aplicaciones web de Jupyter. En las versiones 2.17.0 y anteriores, la validación del encabezado Origin utiliza re.match() de Python para comprobar los orígenes entrantes frente al valor de configuración allow_origin_pat. Dado que re.match() solo ancla al inicio de la cadena y no requiere una coincidencia completa, un patrón diseñado para coincidir únicamente con un dominio de confianza (por ejemplo, trusted.example.com) también coincidirá con cualquier origen que comience con ese dominio seguido de caracteres adicionales (por ejemplo, trusted.example.com.evil.com). Un atacante que controle dicho dominio puede eludir la restricción de origen CORS y realizar solicitudes entre orígenes a la API de Jupyter Server desde un sitio no confiable. Este problema se ha corregido en la versión 2.18.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-09

Divulgación

2026-05-06

Moderación

aceptado

Artículo

VDB-361253

CPE

listo

EPSS

0.00009

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40110
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40110
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40110/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!