CVE-2026-40262 in note-markالمعلومات

الملخص

بحسب VulDB • 05/06/2026

يُعد تطبيق ملاحظات مارك (Mark) تطبيقًا مفتوح المصدر لإدخال الملاحظات. في الإصدارات 0.19.1 والإصدارات الأقدم، يقوم معالج تسليم الأصول بتقديم الملفات المرفوعة بشكل مضمن (inline) ويعتمد على اكتشاف البتات السحرية (magic-byte detection) لتحديد نوع المحتوى، مما لا يحدد التنسيقات القائمة على النصوص مثل HTML أو SVG أو XHTML. يتم تقديم هذه الملفات بنوع محتوى فارغ (empty Content-Type)، وبدون رأس X-Content-Type-Options: nosniff، وبصيغة مضمنة (inline disposition)، مما يسمح للمتصفحات بفحص المحتوى النشط وعرضه. يمكن لمستخدم مُصادق عليه رفع ملف HTML أو SVG يحتوي على كود JavaScript كأصل للملاحظات، وعند تنقل الضحية إلى عنوان URL الخاص بالأصل، يتم تنفيذ السcript ضمن أصل التطبيق مع إمكانية الوصول إلى جلسة المستخدم المُصادق عليها وإجراءات API الخاصة به. تم إصلاح هذه المشكلة في الإصدار 0.19.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/04/2026

إفشاء

17/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357984

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

8.7 (CNA)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40262
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40262
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40262/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!