CVE-2026-35593 in Triliumالمعلومات

الملخص

بحسب VulDB • 20/05/2026

تُعد Trilium Notes تطبيقاً مفتوح المصدر ومتعدد المنصات لتدوين الملاحظات الهرمي، مصمم لبناء قواعد معرفة شخصية ضخمة. تتأثر الإصدارات 0.102.1 والإصدارات الأقدم بثغرة تضمين الملفات المحلية (Local File Inclusion)، مما يتيح لمهاجم مُصادق عليه قراءة ملفات عشوائية حساسة من نظام الملفات الخاص بالخادم. تستدعي دالة `uploadModifiedFileToAttachment`، التي يتم استدعاؤها عند استلام طلب POST إلى `/api/attachments/{attachmentId}/upload-modified-file`، استبدال محتوى المرفق بمحتوى ملف آخر (يتم توفير مساره في حقل `filePath` ضمن جسم الطلب). بعد ذلك، يمكن عرض محتوى المرفق عبر `/api/attachments/{attachmentId}/download`. يؤدي هذا إلى كشف ملفات النظام الحساسة مثل مفاتيح SSH، وبيانات الاعتماد، وملفات التكوين، وملفات نظام التشغيل، مما قد يؤدي إلى تنفيذ الأكواد عن بُعد (RCE) واختراق التطبيقات المستضافة على نفس الخادم. تم إصلاح هذه المشكلة في الإصدار 0.102.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

03/04/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364766

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

6.8 (CNA)

EPSS

0.00135

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35593
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35593
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35593/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!