CVE-2026-42266
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/05/2026
Última modificación:
06/07/2026
Descripción
*** Pendiente de traducción *** JupyterLab is an extensible environment for interactive and reproducible computing, based on the Jupyter Notebook Architecture. From 4.0.0 to 4.5.6, the allow-list of extensions that can be installed from PyPI Extension Manager (allowed_extensions_uris) is not correctly enforced by JupyterLab. The PyPI Extension Manager was not contained to packages listed on the default PyPI index. This vulnerability is fixed in 4.5.7.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jupyter:jupyterlab:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.5.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jupyterlab/jupyterlab/releases/tag/v4.5.7
- https://github.com/jupyterlab/jupyterlab/security/advisories/GHSA-37w4-hwhx-4rc4
- https://jupyterhub.readthedocs.io/en/5.2.1/explanation/websecurity.html
- https://jupyterlab.readthedocs.io/en/latest/user/extensions.html#extension-manager-implementations
- https://access.redhat.com/security/cve/CVE-2026-42266
- https://bugzilla.redhat.com/show_bug.cgi?id=2477072
- https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-42266.json



