Stef41

**Nome do Software Vulnerável e Versões Afetadas** Jupyter Server versões anteriores a 2.18.0 **Descrição** Um problema de travessia de caminho (path traversal) na API REST permite que um usuário autenticado escape do `root dir` configurado e acesse diretórios irmãos que compartilham o mesmo prefixo que o `root dir`. Ao enviar uma solicitação manipulada para o endpoint '/api/contents' usando componentes de caminho codificados, um invasor pode ler, gravar e excluir arquivos nesses diretórios irmãos. Isso é particularmente crítico em implantações multi-tenant que utilizam esquemas de nomenclatura previsíveis; por exemplo, um usuário com um diretório chamado `user1` poderia acessar diretórios chamados `user10` a `user19`. Usuários capazes de escolher nomes de pastas com um único caractere poderiam potencialmente acessar um número maior de diretórios irmãos. **Recomendações** Atualize para a versão 2.18.0. Como medida paliativa temporária, garanta que os nomes das pastas não compartilhem um prefixo comum com qualquer diretório irmão.