CVE-2026-40934

Nome do Software Vulnerável e Versões Afetadas Jupyter Server versões anteriores a 2.18.0

Descrição O segredo usado para assinar cookies de autenticação é persistido em um arquivo estático em ~/.local/share/jupyter/runtime/jupyter cookie secret e não é rotacionado quando um usuário altera sua senha. Consequentemente, após a redefinição da senha e a reinicialização do servidor, qualquer cookie de autenticação emitido anteriormente permanece criptograficamente válido. Um invasor que tenha capturado um cookie de sessão mantém acesso autenticado total ao servidor, independentemente de alterações subsequentes de senha. Isso afeta implantações que utilizam autenticação baseada em senha, particularmente servidores compartilhados ou expostos à internet, onde se espera que a rotação de credenciais revogue as sessões existentes.

Recomendações Atualize para a versão 2.18.0 ou posterior. Como solução temporária, exclua o arquivo ~/.local/share/jupyter/runtime/jupyter cookie secret e reinicie o servidor.