CVE-2026-33587

Remote Code Execution (RCE) via Server-Side Template Injection (SSTI)

CVSS 9.2 CRITICALEPSS 0.2%CWE-20

Vexday Risk Score

28Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 9.2EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch referenciado

Ciclo de vida

07 may 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Lack of user input sanitisation in Open Notebook v1.8.3 allows the application user to execute Python code (and subsequently OS commands) on the docker container via Server-Side Template Injection (SSTI) for user-created transformations.

CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:N/SA:N

Productos afectados

Open Notebook · Open Notebook

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/lfnovo/open-notebook/security/advisories/GHSA-f35w-wx37-26q7