CVE-2026-39378 in nbconvert
요약
\~에 의해 VulDB • 2026. 05. 30.
nbconvert 도구인 jupyter nbconvert는 Jinja 템플릿을 통해 Jupyter 노트북을 다양한 다른 형식으로 변환합니다. 버전 6.5부터 7.17.0까지에서 `HTMLExporter.embed_images=True`일 때, nbconvert의 마크다운 렌더러는 이미지 참조에서의 경로 순회(path traversal)를 통해 임의의 파일 읽기가 가능합니다. 악의적인 노트북은 출력 HTML에 base64 데이터 URI로 파일을 임베딩하여 변환 호스트에서 민감한 파일을 유출할 수 있습니다. nbconvert 7.17.1에는 수정 사항이 포함되어 있습니다. 우회 조치로 `HTMLExporter.embed_images`를 활성화하지 마십시오. 기본적으로 활성화되어 있지 않습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.