つみかさね

CVE-2026-42266

High(0)

CVE-2026-42266 — JupyterLab Extension Manager API/GUI ポリシー不一致による悪意ある拡張機能インストール

公開日: 2026-06-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
jupyterlabJupyter Project< 4.5.7

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1pip show jupyterlab でバージョンを確認する
  2. 24.5.7 未満の場合、pip install --upgrade jupyterlab を実行する
  3. 3共有 JupyterHub 環境では拡張機能インストールポリシーを見直す

影響対象

JupyterLab 利用者JupyterHub 管理者

補足

  • -マルチユーザー環境では特にアップデートの優先度を高めてください
CVEJupyterLabPythonPyPI拡張機能データサイエンス

概要

JupyterLab の Extension Manager において、GUI 側のポリシーと API 側のポリシーに乖離(API/GUI Policy Discrepancy)があり、POST リクエストを直接送ることでサードパーティ製の(悪意ある)拡張機能のインストールが可能になる脆弱性が確認されました。

多人数で共有される JupyterHub 環境や、信頼できないユーザーが操作できる JupyterLab サーバーでは特に注意が必要です。

CVSSベクトル

CVSS スコアは本稿執筆時点で NVD による評価が未完了のため、数値は未確定です。GHSA 分類は High です。

項目内容
深刻度High(GHSA 分類)
脆弱性種別アクセス制御の不備(API/GUI ポリシー不一致)
攻撃経路ネットワーク(HTTP POST リクエスト)

影響を受けるソフトウェア

製品名エコシステム影響バージョン
jupyterlabPyPI< 4.5.7

修正バージョンと回避策

  • 修正バージョン: jupyterlab 4.5.7 以降
  • アップデート手順: 
    pip install --upgrade jupyterlab
  • 回避策: 拡張機能のインストールを無効化する設定を適用するか、信頼できるネットワークからのアクセスのみを許可してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/jupyterlab/jupyterlab/security/advisories/GHSA-37w4-hwhx-4rc4
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42266
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。