CVE-2026-40110

Nome do Software Vulnerável e Versões Afetadas Jupyter Server versões anteriores a 2.18.0

Descrição A validação do cabeçalho Origin utiliza a função re.match() para verificar origens recebidas em relação ao valor de configuração allow origin pat. Como o re.match() ancora apenas no início da string e não exige uma correspondência completa, um padrão destinado a um domínio confiável também corresponderá a qualquer origem que comece com esse domínio seguido de caracteres adicionais. Isso permite que um invasor que controle tal domínio ignore as restrições de Cross-Origin Resource Sharing (CORS) e faça solicitações de origem cruzada para a API do Jupyter Server a partir de um site não confiável.

Recomendações Atualize para a versão 2.18.0. Envolva o valor de allow origin pat com ^ e $ para garantir a correspondência completa da string.