CVE-2026-6657 in jupyter-serverinformação

Sumário

de VulDB • 03/06/2026

Uma vulnerabilidade nas versões do jupyter-server de 1.12.0 a 2.17.0 permite que um atacante contorne a validação da origem CORS quando a configuração `allow_origin_pat` é utilizada. O problema surge do uso de `re.match()` para validar o cabeçalho `Origin`, o qual ancora apenas no início da string. Isso permite que domínios controlados pelo atacante, como `trusted.example.com.evil.com`, passem na validação contra padrões destinados a corresponder a `trusted.example.com`. A vulnerabilidade afeta múltiplas localizações na base de código, incluindo cabeçalhos CORS, conexões WebSocket, validação de referer e redirecionamentos de login, potencialmente permitindo ataques de phishing, execução arbitrária de código e acesso não autorizado a respostas de API sensíveis.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

@huntr Ai

Reservar

20/04/2026

Divulgação

03/06/2026

Moderação

aceite

Entrada

VDB-368151

CPE

pronto

EPSS

0.00022

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6657
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6657
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6657/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!