CVE-2026-40171 in notebook
요약
\~에 의해 VulDB • 2026. 05. 09.
Jupyter Notebook 7.0.0부터 7.5.5까지, JupyterLab 4.5.6 및 이전 버전, 그리고 7.5.6 및 4.5.7 이전의 해당 @jupyter-notebook/help-extension 및 @jupyterlab/help-extension 패키지에서, 도움말 명령어 링크어(help command linker)의 저장형 크로스 사이트 스크립팅(XSS) 취약점이 공격자가 제어하는 노트북 콘텐츠와 결합되어 단 한 번의 클릭으로 인증 토큰을 탈취할 수 있습니다.
공격자는 합법적인 컨트롤과 구분하기 어려운 요소를 포함하는 악성 노트북 파일을 작성하여 사용자가 상호작용할 때 실행을 트리거할 수 있습니다. 성공적인 익스플로잇을 통해 사용자의 인증 토큰이 탈취되고, REST API를 통해 Jupyter 세션이 완전히 장악됩니다. 여기에는 파일 읽기, 파일 생성 또는 수정, 임의 코드 실행을 위한 커널 접근, 셸 접근을 위한 터미널 생성 등이 포함됩니다. 이 문제는 Notebook 7.5.6, JupyterLab 4.5.7, @jupyter-notebook/help-extension 7.5.6, 그리고 @jupyterlab/help-extension 4.5.7에서 수정되었습니다. 우회 조치로 영향을 받는 도움말 확장 기능을 비활성화하거나, sanitizer 구성에서 allowCommandLinker를 false로 설정하십시오.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.