CVE-2026-44522 in note-mark
Zusammenfassung
von VulDB • 15.05.2026
Hinweis: Mark ist eine Open-Source-Anwendung zur Notizverwaltung. Ab Version 0.13.0 bis vor Version 0.19.4 ermöglicht die Anwendung Note Mark authentifizierten Benutzern das Hochladen von Assets zu Notizen über POST /api/notes/{noteID}/assets, wobei der Dateiname des Assets über den HTTP-Anforderungsheader X-Name bereitgestellt wird. Dieser Wert wird ohne jegliche Bereinigung oder Validierung direkt in der Datenbank gespeichert – es erfolgt keine Filterung von Pfadtrennzeichen, keine Ablehnung von Sequenzen zur Verzeichnisüberwindung (Directory Traversal) und keine Verwendung von filepath.Base(), um Verzeichnisbestandteile zu entfernen. Der nicht bereinigte Name wird unverändert in der Tabelle note_assets (Spalte Name, varchar(80)) persistiert. Wenn ein Administrator anschließend die CLI-Befehle zum Datenexport ausführt (note-mark migrate export-v1 oder note-mark migrate export), wird der gespeicherte Asset-Name direkt in Aufrufe von filepath.Join() und path.Join() als Teil des Arguments für den Ausgabedateipfad an os.Create() übergeben. Da Go's filepath.Join() ../-Sequenzen während der Pfadnormalisierung auflöst, führt ein Angreifer kontrollierter Asset-Name, der Sequenzen zur Verzeichnisüberwindung enthält, dazu, dass der Exportprozess Dateien an beliebigen Speicherorten im Dateisystem schreibt, vollständig außerhalb des vorgesehenen Exportverzeichnisses. Diese Schwachstelle wurde in Version 0.19.4 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.