CVE-2026-39310 in Trilium
Zusammenfassung
von VulDB • 24.05.2026
Trilium Notes ist eine plattformübergreifende, hierarchische Notiz-Anwendung, die auf den Aufbau großer persönlicher Wissensdatenbanken abzielt. In den Versionen 0.102.1 und älter ermöglicht die Clipper-API in Trilium Desktop (v0.101.3) einen vollständigen Umgehung der Authentifizierung, wenn sie in einer Electron-Umgebung ausgeführt wird. Wenn Trilium eine Electron-Umgebung erkennt, deaktiviert es explizit die Authentifizierungs-Middleware für die Clipper-API, wodurch Endpunkte wie /api/clipper/notes ohne Passwort, API-Token oder CSRF-Schutz im Netzwerk verfügbar gemacht werden. Ein Angreifer in einem gemeinsam genutzten Netzwerk (z. B. einem firmeninternen LAN oder öffentlichem WLAN) kann nach offenen Hochbereichsporten mit einem Tool wie nmap scannen, da Trilium häufig an Ports wie 37840 gebunden ist. Sobald ein potenzieller Port gefunden wurde, bestätigt eine nicht authentifizierte Anfrage an den Clipper-Handshake-Endpunkt, der ebenfalls die Authentifizierung umgeht, eine Trilium-Instanz, indem sie den Anwendungsnamen und die Protokollversion zurückgibt. Dies erleichtert den unbefugten Datenzugriff, Phishing und die Kompromittierung des lokalen Systems. Das Problem wurde in Version 0.102.2 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.