Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Jupyter ServerはJupyterウェブアプリケーションのバックエンドです。バージョン 2.17.0 以前では、REST APIのパストラバーサル脆弱性により、認証済みユーザーが設定されたroot_dirから脱出し、root_dirと同じプレフィックスで始まる名前の兄弟ディレクトリにアクセスできます。例えば、テスト名付きroot_dirでは、APIは符号化されたパスコンポーネントを使って/api/contentsエンドポイントへの修正リクエストを通じて、兄弟ディレクトリtestにアクセスを許可します。攻撃者は影響を受けた兄弟ディレクトリ内のファイルを読み書き、削除することができます。予測可能な命名方式を用いたマルチテナント展開は特にリスクが高く、user1という名前のディレクトリを持つユーザーはuser10からuser19以上のディレクトリにアクセスする可能性があります。1文字のフォルダ名を選べるユーザーは、多数の兄弟ディレクトリにアクセスできる可能性があります。バージョン 2.18.0 には修正が含まれています。回避策として、フォルダ名が兄弟ディレクトリと共通のプレフィックスを共有しないようにしてください。(CVE-2026-35397)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-35397

high Nessus プラグイン ID 312615

バージョン 1.2