CVE-2026-33175

Name of the Vulnerable Software and Affected Versions OAuthenticator versões anteriores a 17.4.0

Description OAuthenticator é um software que permite que provedores de identidade OAuth2 sejam conectados e usados com o JupyterHub. Existe uma falha de bypass de autenticação que permite que um invasor com um endereço de e-mail não verificado em um tenant Auth0 faça login no JupyterHub. Quando email é usado como username claim, isso dá aos usuários controle sobre seu nome de usuário e a possibilidade de assumir o controle da conta. Isso afeta qualquer tenant Auth0 que utilize o Auth0OAuthenticator mapeando a claim email para o nome de usuário do JupyterHub.

Recommendations Atualize o OAuthenticator para a versão 17.4.0. Como alternativa, verifique o campo email verified em uma função Authenticator.post auth hook. Como alternativa, não use email como a claim de nome de usuário. Como alternativa, force a verificação de e-mail no Auth0.