CVE-2026-5422 jupyter-server 2.17.0のパストラバーサル脆弱性解説とAI SecurityによるLLM運用者向け緊急対応指南

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-02 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-5422はjupyter-server 2.17.0にあるパストラバーサル（経路走査）脆弱性です。攻撃者はこの脆弱性を使って、認証無しに隣接するディレクトリのファイルを不正に読み書きできます。LLMゲートウェイやNotebookサーバ運用者にとって重要な問題です。

やさしく説明すると

パストラバーサルは、防犯ドアの鍵を壊すのではなく、壁の穴から勝手に隣の部屋に入るようなものです。この脆弱性は、jupyter-serverのファイル操作ルールがあいまいで、攻撃者が本来入れない隣のフォルダにアクセスできてしまいます。つまり、共有サーバで重要なデータを盗まれたり、改ざんされたりする危険があります。

技術的な原因

原因はCWE-23（パストラバーサル、Path Traversal）に該当します。jupyter-serverのfileio.py内の_get_os_path()関数は、ルートディレクトリの境界チェックに失敗しています。具体的には、startswith(root)条件でパス区切り文字を無視しているため、root_dirと名前が似た隣接ディレクトリへ容易にアクセス可能です。さらにutils.py内のto_os_path()は「..」を削除せず、そのままパス解釈してしまうため、経路の上位への移動も可能です。

影響を受けると何が困るか

• APIキー（OpenAIやAnthropicなど）が漏れてしまう
• LLMのコンテキスト情報、顧客の機密データが盗まれる
• プロンプトインジェクション経由でエージェントの乗っ取りが発生する
• RAG（検索強化生成）データやモデルファイルの改ざんが起きる
• 共有ホスティング環境で複数テナント間の情報漏洩が発生する
• AIコーディングツール（Cursor/Cline/Coilotなど）経由でのローカルファイル不正アクセスリスク
• .envや認証情報など秘密情報の漏えい

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコア: 本CVEは現時点でCVSS情報なし。実務的には影響は認識されているが重大度は不明。
• EPSSスコア: 利用可能なEPSSデータなし。直近30日での悪用予測は現状得られていません。
• ランサムウェア悪用: 確認されていません。
• 公開PoC: GitHubでの公開PoCやエクスプロイトは現時点で存在しません。
• 悪用条件: ネットワーク経由でパストラバーサルは容易ですが、認証やユーザ操作の有無は不明。デフォルト設定での影響範囲は要確認です。

誰が動くべきか

• Notebookサーバの管理者（Jupyter Server運用者）
• LLM Gateway運用チーム（特に、JupyterベースでLLM連携ツールを実装している場合）
• バイブコーダー開発者（Cursor/ClineなどJupyter連携やファイルアクセスするツールを利用している場合）
• AI開発で共有ホスティング環境を使用しているチーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
jupyter-server	2.17.0	ベンダーアドバイザリ参照

バージョン確認コマンド

Python (pip)

pip show jupyter-server

出力例:

Name: jupyter-server
Version: 2.17.0
Summary: The Jupyter Server

判定: Versionが 2.17.0 なら対象。異なる場合は安全。

Python (poetry)

poetry show jupyter-server

出力例:

jupyter-server 2.17.0 The Jupyter Server

判定: Versionが 2.17.0 なら対象。異なる場合は安全。

設定確認

この脆弱性はバージョンによるものであり、特定の設定依存は公式情報で示されていません。したがって、対象バージョンか否かが直接の判定基準です。

Nucleiテンプレートでの検出

本CVEに対する公開Nucleiテンプレートは現時点で存在しません。検出には上記バージョン確認が推奨されます。

STEP 4: 修正を適用する

パッチ適用

Python/pip 環境でのアップグレード例

pip install --upgrade jupyter-server

判定: アップグレード後、バージョンが2.17.0以降（修正版）であればOK

注意: パッチ適用前に必ずデータや設定のバックアップを取得してください。ステージング環境で動作検証をしたうえで、本番への適用計画を立ててください。

パッチ即時適用ができない場合の暫定対応

現状、公式からの暫定対応策は提示されていません。ネットワーク分離や不要な機能無効化などの基本的な防御策を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で使ったバージョン確認コマンドを再実行してください。

期待される出力

Python (pip)

pip show jupyter-server

出力例:

Name: jupyter-server
Version: 2.17.1
Summary: The Jupyter Server

判定: バージョンが 2.17.1（またはベンダーの修正版以上）ならOK

Python (poetry)

poetry show jupyter-server

出力例:

jupyter-server 2.17.1 The Jupyter Server

判定: バージョンが 2.17.1（またはベンダー修正版）以上ならOK

追加で確認すべきこと

公開Nucleiテンプレートがないためスキャンはできませんが、パッチ適用後はログや監視ツールで不審なファイルアクセスがないか確認してください。

補足: 悪用観測状況

現時点でCISA KEVカタログには未登録で、ランサムウェアによる悪用報告もありません。GitHub上に公開PoCも見つかっていません。公式情報にも悪用の報告はなく、まだ大きな攻撃につながっている証拠はありません。

補足: CVSSメトリクス詳細

• AV（Attack Vector，攻撃経路）: 情報なし
• AC（Attack Complexity，攻撃の複雑さ）: 情報なし
• PR（Privileges Required，必要な権限）: 情報なし
• UI（User Interaction，ユーザ操作）: 情報なし
• S（Scope，影響範囲）: 情報なし
• C（Confidentiality，機密性への影響）: あり（ファイル不正アクセス）
• I（Integrity，完全性への影響）: あり（ファイル改ざん可能）
• A（Availability，可用性への影響）: 不明。ファイル操作中心のため限定的の可能性

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3のバージョン確認を行い、対象バージョンならSTEP 4のパッチ適用を行ってください。安全なバージョンにアップグレードすることが最優先です。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、ネットワーク分離や不要機能の無効化、アクセス制限などの防御策を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 現時点で公式のIOCや攻撃シグネチャは公開されていません。サーバーログやファイルアクセス履歴を監査し、不審な操作がないかをチェックしてください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論上の深刻度を示しますが、EPSS（Exploit Prediction Scoring System）は「実際に悪用される確率」を示します。両者を併記することで優先度の判断がより正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-23のパストラバーサル脆弱性は過去にも多くの製品で報告されています。似た問題が他のJupyter関連モジュールやAI Gateway製品にも存在し得るため、常に最新のアップデートを追うことが重要です。

参考文献

• NVD: CVE-2026-5422
• Huntr Bounty Report
• CISA KEVカタログ
• Debian Security Tracker
• Ubuntu Security Notice

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• パストラバーサル に関するCVE・脆弱性記事一覧
• AIノートブック に関するCVE・脆弱性記事一覧

2026-06-09 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-09時点	変化の意味
CVSSスコア変化	9 (Critical)	8.1 (HIGH)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:jupyter:jupyter_server:2.17.0:*:*:*:*:*:*:*	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点では「9 (Critical)」という非常に高いCVSSスコアが設定されていましたが、NVDによる再評価の結果「8.1 (HIGH)」へ下方修正されました。これは、脆弱性の技術的影響や既知の悪用状況などを受けてリスク評価が見直されたためです。この修正により、すぐに致命的な優先度で対応すべき状況から、計画的な対応が求められる「高」リスクに位置づけが変わります。ただし、パストラバーサル脆弱性は依然として深刻な情報漏洩につながり得るため、リスクの過小評価には注意してください。

新規GHSAアドバイザリ

これまでGHSA（GitHub Security Advisory）の発行はありませんでしたが、今回新たに1件が追加されました。GHSAの登場は、開発者コミュニティやOSSエコシステムへの注意喚起として重要な意味を持ちます。これにより、npmやPyPIなどのパッケージ管理システム上でのセキュリティ警告や自動ツールへの反映も期待され、より幅広いユーザに脆弱性情報が行き渡ります。今後はGHSAの内容も公式対策や最新状況の把握材料として必ず参照してください。

結論ボックスの対象範囲が未記入

記事公開時は、影響範囲が「(詳細はベンダーアドバイザリ参照)」と曖昧な表現でしたが、今回「cpe:2.3:a:jupyter:jupyter_server:2.17.0:*:*:*:*:*:*:*」と明確に確定しました。これにより、Jupyter Server 2.17.0 の利用者がピンポイントで自環境の該当有無を確認できるようになります。運用管理者の方は、自身のサーバや配信環境のバージョンを再確認し、該当する場合は速やかに後続の対応策の検討・適用を推奨します。

タイトルプレフィックス未付与

公開当初の記事タイトルには、危険度を示す「【高】」プレフィックスが付与されていませんでした。CVSSの下方修正やリスク評価の見直し結果を反映し、現時点では「【高】」の付与が妥当となっています。記事をご覧の方は、タイトル冒頭の表記（危険度）もあわせて確認し、自組織のインシデント対応基準やパッチ対応判断に活用してください。危険度表示が誤っていた場合は混乱の原因となるため、今後も随時修正を行います。

2026-06-16 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 13日）。

項目	公開時点	2026-06-16時点	変化の意味
CVSSスコア変化	9 (Critical)	8.1 (HIGH)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
結論ボックスの対象範囲が未記入	(詳細はベンダーアドバイザリ参照)	cpe:2.3:a:jupyter:jupyter_server:2.17.0:*:*:*:*:*:*:*	公開時は具体的な対象範囲が不明だったが、現在は確定済み（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開当初、CVE-2026-5422のCVSSスコアは「9 (Critical)」と評価されていましたが、NVDによる再評価の結果、「8.1 (HIGH)」へ下方修正されました。これは脆弱性の現実的な悪用難易度や影響範囲について追加分析が加えられた結果と考えられます。運用担当者は「Critical」から「High」への切り下げを受け、緊急対応の優先度を若干調整できますが、それでも依然として高リスクである点に留意が必要です。修正パッチや緩和策の適用計画は変わらず推奨されます。

新規GHSAアドバイザリ

本脆弱性について、公開時点ではGitHub Security Advisory（GHSA）は発行されていませんでしたが、新たに1件のGHSAが追加発行されました。これはGitHubプラットフォーム経由でjupyter-server等を利用する開発者や管理者に対して、具体的な注意喚起やパッチ適用手順などをより分かりやすく提供するものです。GitHubを通じて依存性管理を行っている場合、GHSAベースの自動通知やセキュリティアップデートの可否も再確認してください。

結論ボックスの対象範囲が未記入

記事公開時点では「(詳細はベンダーアドバイザリ参照)」とされていた対象範囲ですが、現在は「cpe:2.3:a:jupyter:jupyter_server:2.17.0:*:*:*:*:*:*:*」と、具体的な影響範囲が明示されました。これは情報整理上の改善であり、対象バージョンや該当製品が明確となったことで、影響判定や対応方針の決定が容易になっています。自組織内の資産管理リストや運用中システムが該当するか、このCPE値に基づいて速やかに確認することを推奨します。

タイトルプレフィックス未付与

記事公開時にはタイトルに危険度プレフィックス（【高】など）が付与されていませんでしたが、最新情報を反映し「【高】」とすることが妥当と判断されました。この修正は記事生成時の形式的な抜け漏れについて後から補正したものです。プレフィックスの付与により、関係者が記事を見た際のリスク感や対応優先度を素早く把握できるようになりました。今後はシステム上でも危険度ラベル管理の項目更新を徹底しましょう。