← voltar
CVE-2026-33587

Remote Code Execution (RCE) via Server-Side Template Injection (SSTI)

CVSS 9.2 CRITICALEPSS 0.2%CWE-20
Vexday Risk Score
28Baixo
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 9.2EPSS 0.2%KEV nãoPoC Nuclei Metasploit Patch referenciado
Ciclo de vida
07 mai 2026Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
Lack of user input sanitisation in Open Notebook v1.8.3 allows the application user to execute Python code (and subsequently OS commands) on the docker container via Server-Side Template Injection (SSTI) for user-created transformations.
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:N/SA:N
Produtos afetados
Open Notebook · Open Notebook

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/lfnovo/open-notebook/security/advisories/GHSA-f35w-wx37-26q7