CVE-2026-23528

Nome do Software Vulnerável e Versões Afetadas Versões do Dask distributed anteriores à 2026.1.0

Descrição Quando o Jupyter Lab, o jupyter-server-proxy e o Dask distributed são usados juntos, uma URL forjada pode levar à execução de código pelo Jupyter devido a uma vulnerabilidade de cross-site scripting (XSS) no painel do Dask. Um atacante poderia criar uma URL de phishing presumindo que o Jupyter Lab e o Dask estejam em execução em localhost com portas padrão. Clicar neste link abre uma página de erro no Painel do Dask através do proxy do Jupyter Lab, causando execução de código pelo kernel Python padrão do Jupyter. A vulnerabilidade ocorre quando uma URL maliciosa é usada para executar JavaScript no navegador do usuário dentro do painel do Dask.

Recomendações Versões anteriores à 2026.1.0 devem ser atualizadas para a versão 2026.1.0 ou posterior. Como mitigação, desinstale o jupyter-server-proxy e acesse o painel do Dask diretamente via sua URL. Como mitigação, certifique-se de que tanto o Jupyter quanto o painel do Dask estejam sendo executados em portas não padrão.