JupyterLab は、インタラクティブで再現可能なコンピューティングのための拡張可能な環境です。CVE-2026-42266 は、JupyterLab のバージョン 4.0.0 から 4.5.6 において、PyPI Extension Manager を通じてインストールされる拡張機能の許可リスト (allowedextensionsuris) が正しく適用されない脆弱性です。これにより、攻撃者が悪意のある拡張機能をインストールし、リモートコードを実行する可能性があります。バージョン 4.5.7 でこの問題は修正されています。
このCVEがあなたのプロジェクトに影響するか確認
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
この脆弱性を悪用されると、攻撃者は JupyterLab インスタンスに任意のコードを実行できます。これにより、機密データの窃取、システムの制御、さらにはネットワークへのアクセス権の取得といった深刻な被害が発生する可能性があります。特に、JupyterLab を共有環境やクラウド環境で利用している場合、攻撃の影響範囲は広がる可能性があります。この脆弱性は、Jupyter Notebook アーキテクチャに基づいているため、同様の脆弱性が他の Jupyter 製品にも存在する可能性も考慮する必要があります。
悪用の状況
この脆弱性は、2026年5月13日に公開されました。現時点では、公開されている PoC (Proof of Concept) は確認されていませんが、CVSS スコアが 8.8 (HIGH) と評価されていることから、悪用される可能性は高いと考えられます。KEV (Kernel Exploitability Vulnerability) の評価はまだ行われていません。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) のアドバイザリも確認されています。
脅威インテリジェンス
エクスプロイト状況
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 低 — 有効なユーザーアカウントがあれば十分。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
緩和策と回避策
この脆弱性への最も効果的な対策は、JupyterLab をバージョン 4.5.7 以降にアップデートすることです。アップデートが困難な場合は、PyPI Extension Manager を無効にするか、許可リスト (allowedextensionsuris) に信頼できる拡張機能のみを明示的に追加することで、リスクを軽減できます。また、WAF (Web Application Firewall) を導入し、悪意のある拡張機能のインストールを試みるリクエストをブロックすることも有効です。アップデート後、JupyterLab を再起動し、拡張機能が正しく動作することを確認してください。
修正方法翻訳中…
Actualice JupyterLab a la versión 4.5.7 o superior para mitigar esta vulnerabilidad. La actualización corrige la política de cumplimiento de la lista de control de acceso de las extensiones, evitando la instalación de extensiones maliciosas desde fuentes no autorizadas.
よくある質問
CVE-2026-42266 — RCE in JupyterLab とは何ですか?
CVE-2026-42266 は、JupyterLab のバージョン 4.0.0–4.5.6 において、PyPI Extension Manager を通じてインストールされる拡張機能の許可リストが正しく適用されないために発生するリモートコード実行 (RCE) の脆弱性です。攻撃者は悪意のある拡張機能をインストールし、システムを制御する可能性があります。
CVE-2026-42266 in JupyterLab に影響を受けますか?
JupyterLab のバージョンが 4.0.0–4.5.6 の場合は、この脆弱性に影響を受けます。バージョン 4.5.7 以降にアップデートすることで、この脆弱性は修正されます。
CVE-2026-42266 in JupyterLab を修正するにはどうすればよいですか?
JupyterLab をバージョン 4.5.7 以降にアップデートしてください。アップデートが困難な場合は、PyPI Extension Manager を無効にするか、許可リストに信頼できる拡張機能のみを追加してください。
CVE-2026-42266 はすでに悪用されていますか?
現時点では、公開されている PoC は確認されていませんが、CVSS スコアが 8.8 (HIGH) と評価されていることから、悪用される可能性は高いと考えられます。
CVE-2026-42266 のための公式 JupyterLab アドバイザリはどこで入手できますか?
JupyterLab の公式アドバイザリは、JupyterLab のリリースノートまたは GitHub リポジトリで確認できます。https://github.com/jupyterlab/jupyterlab/releases/tag/4.5.7
このCVEがあなたのプロジェクトに影響するか確認
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。
Pythonプロジェクトを今すぐスキャン — アカウント不要
Upload your requirements.txt and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...