製品・ソフトウェアに関する情報
Vulnerability Search
Project Jupyterのnbconvertにおける複数の脆弱性
Title Project Jupyterのnbconvertにおける複数の脆弱性
Summary

nbconvertツールであるJupyter nbconvertは、Jinjaテンプレートを使用してJupyterノートブックをさまざまな形式に変換します。バージョン6.5から7.17.0までは、細工されたセルの添付ファイル名を含むノートブックを処理する際に、意図された出力ディレクトリ外の任意の場所にファイルを書き込むことが可能でした。`ExtractAttachmentsPreprocessor`は添付ファイル名をサニタイズせずに直接ファイルシステムに渡すため、パストラバーサル攻撃が可能となっています。この脆弱性により、出力先パスおよびファイル拡張子を完全に制御できます。バージョン7.17.1で修正パッチが適用されています。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 21, 2026, midnight
Registration Date April 27, 2026, 11:21 a.m.
Last Update April 27, 2026, 11:21 a.m.
CVSS3.0 : 警告
Score 6.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Affected System
Project Jupyter
nbconvert 6.5.0 以上 7.17.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 11:21 a.m.
NVD Vulnerability Information
CVE-2026-39377
Summary

The nbconvert tool, jupyter nbconvert, converts Jupyter notebooks to various other formats via Jinja templates. Versions 6.5 through 7.17.0 allow arbitrary file writes to locations outside the intended output directory when processing notebooks containing crafted cell attachment filenames. The `ExtractAttachmentsPreprocessor` passes attachment filenames directly to the filesystem without sanitization, enabling path traversal attacks. This vulnerability provides complete control over both the destination path and file extension. Version 7.17.1 contains a patch.

Publication Date April 21, 2026, 10:16 a.m.
Registration Date April 25, 2026, 4:02 a.m.
Last Update April 24, 2026, 2:51 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:jupyter:nbconvert:*:*:*:*:*:python:*:* 6.5.0 7.17.1
Related information, measures and tools
Common Vulnerabilities List