CVE-2026-35593 in Trilium
要約
〜によって VulDB • 2026年05月20日
Trilium Notesは、大規模な個人用ナレッジベースを構築するためのオープンソースでクロスプラットフォーム対応の階層型ノートアプリケーションです。バージョン0.102.1およびそれ以前のバージョンには、ローカルファイルインクルージョン(LFI)の脆弱性が存在し、認証済み攻撃者がサーバーのファイルシステムから機密性の高い任意のファイルを読み取ることができます。/api/attachments/{attachmentId}/upload-modified-fileへのPOSTリクエストを受信した際に呼び出されるuploadModifiedFileToAttachment関数は、リクエストボディのfilePathで指定されたパスを持つ別のファイルの内容で、添付ファイルの内容を置き換えます。その後、添付ファイルの内容は/api/attachments/{attachmentId}/downloadで閲覧可能になります。これにより、SSHキー、資格情報、設定ファイル、OSファイルなどの機密システムファイルが露出する可能性があり、リモートコード実行や共ホストされているアプリケーションの侵害につながる可能性があります。この問題はバージョン0.102.2で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.