Jupyter Server 是 Jupyter 网络应用的后端组件。在 2.17.0 及之前版本中，其 Origin 头部验证逻辑存在安全缺陷：允许通过指定 `allow_origin_pat` 配置项来设置允许的跨域模式，但验证时使用了 Python 的 `re.match()` 函数。`re.match()` 仅从字符串开头进行匹配，不要求完全匹配整个字符串。因此，攻击者可以构造一个以信任域名开头但后续附加恶意字符的 Origin（例如 `trusted.example.com.evil.com`），从而绕过 CORS 限制，实现跨域请求。这可能导致攻击者从恶意站点向 Jupyter Server API 发送跨域请求，可能窃取敏感数据或执行未授权操作。该漏洞在版本 2.18.0 中已修复。建议受影响的用户立即升级至 2.18.0 或更高版本，同时限制服务器的网络暴露以减少攻击面。