Plataforma
python
Componente
oauthenticator
Corregido en
17.4.1
La vulnerabilidad CVE-2026-33175 es un bypass de autenticación descubierto en oauthenticator, un software que permite la integración de proveedores de identidad OAuth2 con JupyterHub. Esta falla permite a un atacante con una dirección de correo electrónico no verificada en un tenant Auth0 iniciar sesión en JupyterHub, comprometiendo potencialmente la seguridad del entorno. La vulnerabilidad afecta a versiones de oauthenticator desde 0.0.0 hasta la versión 17.4.0, siendo resuelta en esta última.
El impacto principal de esta vulnerabilidad radica en la posibilidad de una toma de control de cuentas en JupyterHub. Un atacante que pueda explotar esta falla puede obtener acceso no autorizado a un entorno JupyterHub, comprometiendo la confidencialidad, integridad y disponibilidad de los datos y recursos alojados. Al poder controlar el nombre de usuario, el atacante podría suplantar la identidad de un usuario legítimo, ejecutar código malicioso o acceder a información sensible. La gravedad de este impacto se agrava si JupyterHub se utiliza para entornos de investigación o desarrollo que manejan datos confidenciales.
Actualmente, no se dispone de información pública sobre campañas de explotación activas dirigidas a CVE-2026-33175. La vulnerabilidad fue publicada el 2026-04-03. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing JupyterHub with oauthenticator for authentication, particularly those relying on Auth0 for identity management, are at risk. This includes research institutions, data science teams, and educational organizations where JupyterHub is used for collaborative coding and data analysis. Legacy JupyterHub deployments with older oauthenticator versions are especially vulnerable.
• python / JupyterHub:
import subprocess
result = subprocess.run(['pip', 'show', 'oauthenticator'], capture_output=True, text=True)
if 'Version' in result.stdout:
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version < '17.4.0':
print('Vulnerability detected: oauthenticator version is < 17.4.0')
else:
print('oauthenticator not found.')• python / JupyterHub: Check JupyterHub logs for login attempts using unverified email addresses from Auth0. • generic web: Monitor JupyterHub login endpoints for unusual activity or requests from suspicious IP addresses.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33175 es actualizar oauthenticator a la versión 17.4.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la versión 17.4.0 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de realizar una reversión a una versión anterior estable que no esté afectada. Como medida adicional, se recomienda revisar la configuración de Auth0 para asegurar que la verificación de correo electrónico esté habilitada y se apliquen políticas de contraseñas robustas. Monitorear los registros de JupyterHub en busca de intentos de inicio de sesión sospechosos también puede ayudar a detectar y prevenir ataques.
Actualice oauthenticator a la versión 17.4.0 o superior para mitigar la vulnerabilidad de bypass de autenticación. Esta actualización corrige el problema al verificar las reclamaciones de correo electrónico antes de permitir el inicio de sesión en JupyterHub, previniendo así la posibilidad de tomar el control de la cuenta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33175 es una vulnerabilidad de bypass de autenticación en oauthenticator que permite a atacantes con correos no verificados acceder a JupyterHub, comprometiendo cuentas.
Si está utilizando oauthenticator en versiones 0.0.0 hasta <17.4.0, es vulnerable. Actualice a 17.4.0 para mitigar el riesgo.
La solución es actualizar oauthenticator a la versión 17.4.0 o superior. Si la actualización causa problemas, considere una reversión a una versión anterior estable.
Actualmente no hay evidencia pública de explotación activa, pero se recomienda monitorear la situación.
Consulte la documentación oficial de oauthenticator y los canales de comunicación del proyecto para obtener la información más reciente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.