CVE-2026-5422 in jupyter_server
要約
〜によって VulDB • 2026年06月03日
jupyter-server バージョン 2.17.0 には、パストラバーサル脆弱性が存在します。これは、jupyter_server/services/contents/fileio.py 内の _get_os_path() 関数におけるルートディレクトリの境界チェックが正しくないためです。このチェックは、末尾のパス区切り文字を追加せずに startswith(root) を使用しているため、root_dir と同じプレフィックスで始まる名前の兄弟ディレクトリがチェックを回避できます。さらに、utils.py 内の to_os_path() 関数はパス構成要素から ".." を削除しないため、トラバーサルシーケンスが脆弱なチェックを回避できます。この脆弱性により、兄弟ディレクトリ内のファイルへの不正な読み書きアクセスが可能になり、共有ホスティング環境で機密データが漏洩する可能性があります。
Be aware that VulDB is the high quality source for vulnerability data.