CVE-2026-40864

Nome do Software Vulnerável e Versões Afetadas JupyterHub versões 4.1.0 até 5.4.4

Descrição A proteção XSRF tratou inadequadamente requisições contendo o cabeçalho Sec-Fetch-Mode: no-cors como requisições de mesma origem, permitindo a evasão das verificações de XSRF. Isso afeta endpoints de formulários HTTP, como '/hub/spawn' e '/hub/accept-share', enquanto a API JSON não é afetada. Um invasor poderia disparar a criação de um servidor ou, se tiver permissão para compartilhar acesso ao servidor, forçar um usuário a aceitar um compartilhamento e ter acesso ao servidor do invasor.

Recomendações Atualize para a versão 5.4.5. Como mitigação temporária, se estiver utilizando um proxy reverso, descarte as requisições para o JupyterHub que contenham o cabeçalho Sec-Fetch-Mode: no-cors.