CVE-2026-41571 in note-markinformation

Résumé

par VulDB • 10/05/2026

Note Mark est une application de prise de notes open-source. Dans la version 0.19.2, la fonction IsPasswordMatch dans backend/db/models.go utilise par défaut un placeholder bcrypt("null") codé en dur chaque fois qu'un utilisateur n'a pas de mot de passe stocké. Les utilisateurs inscrits via OIDC sont créés avec un mot de passe vide, de sorte que toute personne soumettant password: "null" au point de terminaison de connexion interne obtient une session valide pour cet utilisateur. Cette faille permet une authentification non autorisée et ne nécessite aucune interaction de la part de l'utilisateur. Ce problème a été corrigé dans la version 0.19.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

21/04/2026

Divulgation

04/05/2026

Modérer

accepté

Entrée

VDB-361011

CPE

prêt

EPSS

0.00053

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41571
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41571
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41571/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!