CVE-2026-39377

Name of the Vulnerable Software and Affected Versions nbconvert versões 6.5 até 7.17.0

Description A ferramenta nbconvert converte notebooks Jupyter para vários formatos usando templates Jinja. Existe um problema de path traversal onde a função ExtractAttachmentsPreprocessor passa nomes de arquivos de anexo diretamente para o sistema de arquivos sem sanitização. Isso permite a gravação de arquivos arbitrários em locais fora do diretório de saída pretendido, fornecendo controle total sobre o caminho de destino, nome do arquivo e extensão do arquivo.

Recommendations Atualizar para a versão 7.17.1. Como alternativa temporária, desative o ExtractAttachmentsPreprocessor definindo c.ExtractAttachmentsPreprocessor.enabled = False.