CVE-2026-40171

Nome do Software Vulnerável e Versões Afetadas Jupyter Notebook versões anteriores a 7.5.6 JupyterLab versões anteriores a 4.5.7

Descrição Um problema de Cross-Site Scripting (XSS) armazenado permite que invasores roubem tokens de autenticação de usuários que abrem arquivos de notebook maliciosos e interagem com elementos projetados para parecerem controles legítimos. Isso pode levar ao controle total da conta via API REST do Jupyter, permitindo que o invasor leia, modifique ou crie arquivos, acesse kernels em execução para executar código arbitrário e crie terminais para acesso ao shell.

Recomendações Atualize o Jupyter Notebook para a versão 7.5.6. Atualize o JupyterLab para a versão 4.5.7. Desative a extensão de ajuda via CLI usando jupyter labextension disable @jupyter-notebook/help-extension e jupyter labextension disable @jupyterlab/help-extension. Desative a funcionalidade de vinculação de comandos no overrides.json definindo @jupyterlab/apputils-extension:sanitizer com allowCommandLinker definido como false.