CVE-2026-42557

Nome do Software Vulnerável e Versões Afetadas JupyterLab versões anteriores a 4.5.7 Jupyter Notebook versões anteriores a 7.5.6

Descrição O sanitizador HTML permite as variáveis data-commandlinker-command e data-commandlinker-args em elementos button. Como o CommandLinker monitora todos os eventos de clique em document.body e executa comandos nomeados sem verificar se o elemento originou-se de uma interface de usuário confiável, um notebook com saída de célula HTML pré-salva contendo um botão enganoso pode disparar comandos arbitrários. Isso pode levar à execução de código arbitrário, exclusão de arquivos ou negação de disponibilidade do servidor ao abrir múltiplos kernels ou terminais com um único clique do usuário. Em navegadores baseados no Chromium, ataques de múltiplos cliques combinados com acesso à área de transferência podem permitir acesso total ao terminal. A superfície de ataque pode aumentar em ambientes com extensões de frontend de terceiros que fornecem comandos adicionais.

Recomendações Atualize para a versão 4.5.7 ou superior. Atualize para a versão 7.5.6 ou superior. Para aplicações derivadas do JupyterFrontEnd ou JupyterLab, desative o CommandLinker passando a opção commandLinker: new CommandLinker({ commands: new CommandRegistry() }) durante a inicialização. Desative a funcionalidade do command linker via overrides.json, definindo @jupyterlab/apputils-extension:sanitizer com allowCommandLinker como false.