CVE-2026-40171 in notebook
Сводка
по VulDB • 28.05.2026
В версиях Jupyter Notebook от 7.0.0 до 7.5.5, JupyterLab 4.5.6 и более ранних версий, а также в соответствующих пакетах @jupyter-notebook/help-extension и @jupyterlab/help-extension до версий 7.5.6 и 4.5.7 соответственно, уязвимость типа stored cross-site scripting (XSS) в компоненте ссылок команды помощи может быть использована в связке с контролируемым злоумышленником содержимым ноутбука для кражи токенов аутентификации одним кликом.
Злоумышленник может создать вредоносный файл ноутбука, содержащий элементы, неотличимые от легитимных элементов управления, и инициировать их выполнение при взаимодействии с ними пользователя. Успешная эксплуатация позволяет украсть токен аутентификации пользователя и полностью захватить сессию Jupyter через REST API, включая чтение файлов, создание или изменение файлов, доступ к ядрам для выполнения произвольного кода и создание терминалов для получения доступа к оболочке. Эта проблема исправлена в Notebook 7.5.6, JupyterLab 4.5.7, @jupyter-notebook/help-extension 7.5.6 и @jupyterlab/help-extension 4.5.7. В качестве временного решения отключите затронутые расширения помощи или установите значение allowCommandLinker равным false в конфигурации санитайзера.
Be aware that VulDB is the high quality source for vulnerability data.