CVE-2026-40110
HIGHCVSS v3.1: 7.3 · EPSS: 0.0036 (27.6 パーセンタイル)
出典データ取得時点:
概要
- 深刻度
- HIGH
- CVSS
- 7.3 v3.1 · NVD
- EPSS
- 0.0036 (27.6 パーセンタイル) · FIRST.org
- CISA KEV
- 非該当
- 攻撃条件(CVSSベクター)
- ネットワーク · 出典: NVD ベクター
- 影響を受けるベンダー
- jupyter
- 公開日
- 2026-05-05 · 更新日: 2026-06-30
- 参照情報
- 参照情報へ移動 (7)
CVSS / EPSS / KEV
出典 — CVSS: NVD · EPSS: FIRST.org · KEV: CISA. データと出典
説明
Jupyter Server is the backend for Jupyter web applications. In versions 2.17.0 and earlier, the Origin header validation uses Python's re.match() to check incoming origins against the allow_origin_pat configuration value. Because re.match() only anchors at the start of the string and does not require a full match, a pattern intended to match only a trusted domain (e.g., trusted.example.com) will also match any origin that begins with that domain followed by additional characters (e.g., trusted.example.com.evil.com). An attacker who controls such a domain can bypass the CORS origin restriction and make cross-origin requests to the Jupyter Server API from an untrusted site. This issue has been fixed in version 2.18.0.
参照情報
NVDが列挙した参照URLを、リンクのホスト・パターンに対する機械的な一致でグループ化したもの。ラベルはリンクの種別のみを示します。
- パッチ https://github.com/jupyter-server/jupyter_server/commit/057869a327c46730afede3eab0ca2d2e3e…
- パッチ https://github.com/jupyter-server/jupyter_server/commit/49b34392feaa97735b3b777e3baf8f22f2…
- 参照 https://github.com/jupyter-server/jupyter_server/pull/603
- ベンダー勧告 https://github.com/jupyter-server/jupyter_server/security/advisories/GHSA-24qx-w28j-9m6p
- ディストリ https://access.redhat.com/security/cve/CVE-2026-40110
- ディストリ https://bugzilla.redhat.com/show_bug.cgi?id=2466912
- ディストリ https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-40110.json