CVE-2026-40110Jupyter Server является сервером для веб-приложений Jupyter. В версиях 2.17.0 и ранее проверка заголовка Origin использует re.match() Python для проверки входящего происхождения значения конфигурации ±o_origin_pat. Поскольку re.match() только якоря в начале строки и не требует полного соответствия, шаблон, предназначенный для сопоставления только доверенного домена (например, trusted.example.com), также будет соответствовать любому происхождению, которое начинается с этого домена, за которым следуют дополнительные персонажи (например, trusted.example.com.evil.com). Злоумышленник, который контролирует такой домен, может обойти ограничение происхождения CORS и сделать перекрестные запросы на API Jupyter Server с ненадежного сайта. Эта проблема исправлена в версии 2.18.0.