CVE-2026-42266

Nome do Software Vulnerável e Versões Afetadas JupyterLab versões anteriores a 4.5.7

Description O Gerenciador de Extensões PyPI não impõe corretamente a lista de permissões allowed extensions uris, permitindo a instalação de pacotes não listados no índice PyPI padrão. Este problema afeta implementações que utilizam listas de permissões para restringir a instalação de pacotes, possuem kernels e terminais desativados ou utilizam configurações multi-tenant não configuradas para usuários não confiáveis. Um invasor autenticado pode explorar isso para escalar privilégios, podendo levar à exfiltração de dados, movimentação lateral na rede e comprometimento persistente da infraestrutura do servidor.

Recommendations Atualize para a versão 4.5.7. Como medida paliativa temporária, altere para um gerenciador de extensões somente leitura usando a opção de linha de comando --LabApp.extension manager=readonly ou o traitlet c.LabApp.extension manager = 'readonly'.