OAuthenticatorは、OAuth2のIDプロバイダーをJupyterHubにプラグインして使用できるソフトウェアです。バージョン17.4.0以前のoauthenticatorには認証バイパスの脆弱性があり、Auth0テナント上で未検証のメールアドレスを持つ攻撃者がJupyterHubにログインできてしまう問題がありました。メールがusername_claimとして使用されている場合、こ… [+147 chars]
JVNDB-2026-011406:Project Jupyterのoauthenticatorにおける複数の脆弱性
Versions 17.4.0 and earlier of the OAuthenticator plugin for JupyterHub contain an authentication bypass vulnerability that allows attackers with unverified email addresses on Auth0 tenants to log into JupyterHub instances. This issue specifically arises when email addresses are used as the `username_claim` in OAuth2 authentication flows, enabling unauthorized access to authenticated environments.