つみかさね

CVE-2026-35397

High(8.8)

CVE-2026-35397 — Jupyter Server パストラバーサル

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Jupyter ServerJupyter Project<= 2.17.0

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Jupyter Serverを使用しているか確認する
  2. 2バージョン2.17.0以前であれば最新版へアップデートする
  3. 3root_dirのパス名がユニークなプレフィックスであることを確認する
  4. 4アクセス制御を見直す

影響対象

Jupyter Server利用者データサイエンティスト研究機関

補足

  • -最新版で修正済み
CVEJupyter ServerパストラバーサルREST API

概要

Jupyter Server は Jupyter Web アプリケーションのバックエンドサーバーです。バージョン 2.17.0 以前において、REST API にパストラバーサルの脆弱性が存在します。

認証済みユーザーが、設定された root_dir を超えて、同じプレフィックスで始まる名前を持つ隣接ディレクトリにアクセスできてしまいます。例えば、root_dir/data/notebooks に設定されている場合、/data/notebooks-private のような同じプレフィックスで始まるディレクトリの内容を読み取れる可能性があります。これにより、機密データの漏洩やサーバー上のファイルへの不正アクセスが生じるリスクがあります。

CVSSベクトル

指標
CVSSスコア8.8
深刻度High
CWECWE-22 (パストラバーサル)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
Jupyter ServerJupyter Project2.17.0 以前

修正バージョンと回避策

  • Jupyter Server の最新版にアップデートしてください
  • アップデートまでの間、root_dir のパス名がユニークなプレフィックスになるよう設定する
  • Jupyter Server へのアクセスを信頼されたネットワーク・ユーザーに限定する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35397
GitHub Advisory:https://github.com/jupyter-server/jupyter_server/security/advisories/GHSA-5789-5fc7-67v3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。