CVE-2026-42266: RCE em JupyterLab 4.0.0 a 4.5.6
Plataforma
python
Componente
jupyterlab
Corrigido em
4.5.7
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no JupyterLab, uma plataforma de computação interativa. Devido a uma falha na aplicação da lista de permissões de extensões instaladas via PyPI Extension Manager, atacantes podem instalar extensões maliciosas não listadas no índice padrão do PyPI. Essa falha afeta versões do JupyterLab entre 4.0.0 e 4.5.6 (exclusiva). A vulnerabilidade foi corrigida na versão 4.5.7.
Detecte esta CVE no seu projeto
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no sistema onde o JupyterLab está em execução. Isso ocorre porque o JupyterLab não valida adequadamente a origem das extensões instaladas através do PyPI Extension Manager. Um atacante poderia criar uma extensão maliciosa e publicá-la em um repositório PyPI não confiável, e então induzir um usuário a instalá-la. A extensão maliciosa poderia então executar código arbitrário com as permissões do usuário JupyterLab, potencialmente levando ao comprometimento completo do sistema. O impacto é severo, especialmente em ambientes de desenvolvimento e pesquisa onde o JupyterLab é frequentemente usado para executar código não confiável.
Contexto de Exploração
Esta vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, dado que a instalação de extensões é uma funcionalidade comum e a correção está disponível. Não há evidências públicas de campanhas de exploração ativas no momento da publicação. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) ou EPSS (Exploit Prediction Scoring System). Consulte o aviso oficial do projeto JupyterLab para obter mais informações.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o JupyterLab para a versão 4.5.7 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso à instalação de extensões apenas a usuários confiáveis. Implemente um Web Application Firewall (WAF) para bloquear solicitações de instalação de extensões de fontes não confiáveis. Monitore os logs do JupyterLab em busca de tentativas de instalação de extensões não autorizadas. Verifique se o ambiente JupyterLab está configurado para usar apenas fontes de extensões confiáveis e verificadas.
Como corrigirtraduzindo…
Actualice JupyterLab a la versión 4.5.7 o superior para mitigar esta vulnerabilidad. La actualización corrige la política de cumplimiento de la lista de control de acceso de las extensiones, evitando la instalación de extensiones maliciosas desde fuentes no autorizadas.
Perguntas frequentes
O que é CVE-2026-42266 — RCE no JupyterLab?
CVE-2026-42266 é uma vulnerabilidade de Execução Remota de Código no JupyterLab, permitindo a instalação de extensões maliciosas de fontes não confiáveis, comprometendo a segurança do sistema.
Estou afetado pelo CVE-2026-42266 no JupyterLab?
Se você estiver usando o JupyterLab nas versões 4.0.0 até 4.5.6 (exclusiva), você está potencialmente afetado por esta vulnerabilidade.
Como corrigir CVE-2026-42266 no JupyterLab?
A correção é atualizar o JupyterLab para a versão 4.5.7 ou superior. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restrição de acesso e WAF.
CVE-2026-42266 está sendo ativamente explorado?
Até o momento da publicação, não há evidências públicas de campanhas de exploração ativas, mas a probabilidade de exploração é considerada média.
Onde posso encontrar o aviso oficial do JupyterLab para CVE-2026-42266?
Consulte o aviso oficial do projeto JupyterLab para obter mais informações e detalhes sobre a correção: [https://github.com/jupyterlab/jupyterlab/security/advisories/GHSA-xxxx-xxxx-xxxx](substitua GHSA-xxxx-xxxx-xxxx pelo advisory real)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.
Escaneie seu projeto Python agora — sem conta
Envie seu requirements.txt e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...