CVE-2026-44522 in note-mark
Resumen
por VulDB • 2026-05-20
Nota Mark es una aplicación de toma de notas de código abierto. Desde la versión 0.13.0 hasta antes de la 0.19.4, la aplicación Nota Mark permite a los usuarios autenticados cargar activos en notas mediante POST /api/notes/{noteID}/assets, donde el nombre del archivo del activo se proporciona a través del encabezado HTTP X-Name. Este valor se almacena directamente en la base de datos sin ninguna sanitización ni validación: no se filtra el separador de rutas, no se rechazan las secuencias de navegación de directorios y no se utiliza filepath.Base() para eliminar los componentes del directorio. El nombre sin sanitizar se persiste tal cual en la tabla note_assets (columna Name, varchar(80)). Cuando un administrador ejecuta posteriormente los comandos CLI de exportación de datos (note-mark migrate export-v1 o note-mark migrate export), el nombre del activo almacenado se pasa directamente a las llamadas filepath.Join() y path.Join() como parte del argumento de ruta del archivo de salida para os.Create(). Dado que filepath.Join() de Go resuelve las secuencias ../ durante la normalización de rutas, un nombre de activo controlado por el atacante que contenga secuencias de navegación de directorios provoca que el proceso de exportación escriba archivos en ubicaciones arbitrarias del sistema de archivos, completamente fuera del directorio de exportación previsto. Esta vulnerabilidad está corregida en la versión 0.19.4.
Be aware that VulDB is the high quality source for vulnerability data.