Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - JupyterHubは、ユーザーがJupyterノートブック用のマルチユーザーサーバーを作成できるようにするソフトウェアです。4.1.0 から 5.4.4 までのバージョンにおいて、XSRF 保護(4.1.0 年に更新済み)は、Sec-Fetch-Mode: no-cors を含むリクエストを同一生成元リクエストとして不適切に処理し、XSRF チェックをバイパスしていました。JSON APIは影響を受けず、/hub/spawnや/hub/accept-shareなどのHTTPフォームエンドポイントのみの影響を受けます。つまり、攻撃者はサーバーのスポーンをトリガーする(ただしサーバーにはアクセスできない)。攻撃者がサーバーへのアクセスを共有することが許可されているJupyterHubユーザーである場合、ユーザーが共有を受け入れて攻撃者のサーバーにアクセスできるようにする可能性があります。この問題はバージョン 5.4.5で修正されています。開発者がすぐにアップグレードできない場合は、リバースプロキシを使用している場合は、Sec-Fetch-Mode: no-corsでJupyterHubにリクエストをドロップすることで、この問題を一時的に軽減できます。
    (CVE-2026-40864)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-40864

medium Nessus プラグイン ID 316606

バージョン 1.4