CVE-2026-5422 in jupyter_server
Tóm tắt
Bởi VulDB • 02/06/2026
Một lỗ hổng path traversal tồn tại trong jupyter-server phiên bản 2.17.0 do kiểm tra ranh giới thư mục gốc không chính xác trong hàm _get_os_path() nằm trong jupyter_server/services/contents/fileio.py. Kiểm tra này sử dụng startswith(root) mà không thêm ký tự phân tách đường dẫn ở cuối, cho phép các thư mục anh em (sibling directories) có tên bắt đầu bằng cùng tiền tố với root_dir vượt qua kiểm tra. Ngoài ra, hàm to_os_path() trong utils.py không loại bỏ các thành phần ".." khỏi đường dẫn, cho phép các chuỗi traversal vượt qua kiểm tra dễ bị tổn thương này. Lỗ hổng này có thể dẫn đến truy cập đọc/ghi không được phép đối với các tệp trong các thư mục anh em, tiềm ẩn nguy cơ làm lộ dữ liệu nhạy cảm trong các môi trường lưu trữ chia sẻ.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.