CVE-2026-39309 in Triliumالمعلومات

الملخص

بحسب VulDB • 30/05/2026

تُعد Trilium Notes تطبيقاً لملاحظات متعدد المنصات وهرمي، يركز على بناء قواعد معرفة شخصية ضخمة. في الإصدارات 0.102.1 والإصدارات الأقدم، تكون تكوينات Electron عرضة لتجاوز نظام الترخيص والتحكم في الخصوصية (TCC) عبر خداع المطالبات (Prompt Spoofing)، مما يسمح للمهاجمين المحليين بإطلاق مطالبات أذونات macOS المضللة عن طريق تشغيل كود خبيث تحت هوية التطبيق الموثوق. السبب الجذري للمشكلة هو أن ميزة RunAsNode تتيح تشغيل التطبيق في وضع Node.js الخاص باستخدام الخيار -e لتنفيذ أوامر نظام عشوائية بصلاحيات وهوية Trilium Notes. يمكن للمهاجم استغلال هذا الثغرة من خلال عملية فرعية (subprocess) لطلب أي أذونات حساسة، مثل الوصول إلى الأجهزة (الكاميرا، الميكروفون) والملفات المحمية بنظام TCC، مما يتسبب في ظهور مطالبة نظام TCC كما لو كانت الطلبات صادرة عن Trilium وليس عن كود المهاجم، لأن macOS تعامل العملية الفرعية كجزء من التطبيق الأصلي. يتيح الاستغلال الوصول إلى موارد محمية بنظام TCC مثل الشاشة، والكاميرا، والميكروفون، والمجلدات مثل ~/Documents و~/Downloads، مما يقوض نموذج أمان macOS وسلامة واجهة المستخدم من خلال الهندسة الاجتماعية. تم إصلاح هذه المشكلة في الإصدار 0.102.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/04/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364819

CPE

جاهز

CWE

CWE-451 (مؤكد)

CVSS

5.5 (CNA)

EPSS

0.00005

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39309
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39309
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39309/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!