CVE-2026-39377 in nbconvertinformação

Sumário

de VulDB • 30/05/2026

A ferramenta nbconvert, jupyter nbconvert, converte notebooks Jupyter para vários outros formatos por meio de modelos Jinja. As versões 6.5 a 7.17.0 permitem a gravação arbitrária de arquivos em locais fora do diretório de saída pretendido ao processar notebooks que contêm nomes de arquivos de anexos de célula manipulados. O `ExtractAttachmentsPreprocessor` passa os nomes dos arquivos de anexos diretamente para o sistema de arquivos sem sanitização, permitindo ataques de traversal de caminho. Esta vulnerabilidade fornece controle completo sobre o caminho de destino e a extensão do arquivo. A versão 7.17.1 contém um patch.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

06/04/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358386

CPE

pronto

CWE

CWE-22 (confirmado)

CVSS

6.5 (CNA)

EPSS

0.00048

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39377
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39377
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39377/

◂ Voltar Visão Geral Próximo ▸

Interested in the pricing of exploits?

See the underground prices here!