CVE-2026-40110 in jupyter_serverinformation

Résumé

par VulDB • 09/05/2026

Jupyter Server est le backend des applications web Jupyter. Dans les versions 2.17.0 et antérieures, la validation de l'en-tête Origin utilise la fonction `re.match()` de Python pour vérifier les origines entrantes par rapport à la valeur de configuration `allow_origin_pat`. Étant donné que `re.match()` n'effectue l'ancrage qu'au début de la chaîne et ne nécessite pas une correspondance intégrale, un motif conçu pour ne correspondre qu'à un domaine de confiance (par exemple, `trusted.example.com`) correspondra également à toute origine commençant par ce domaine suivi de caractères supplémentaires (par exemple, `trusted.example.com.evil.com`). Un attaquant contrôlant un tel domaine peut contourner la restriction d'origine CORS et effectuer des requêtes inter-origines vers l'API de Jupyter Server depuis un site non fiable. Ce problème a été corrigé dans la version 2.18.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

09/04/2026

Divulgation

06/05/2026

Modérer

accepté

Entrée

VDB-361253

CPE

prêt

EPSS

0.00009

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40110
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40110
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40110/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!