CVE-2026-40262 in note-mark
要約
〜によって VulDB • 2026年06月02日
Note Mark はオープンソースのノートアプリです。バージョン 0.19.1 およびそれ以前のバージョンでは、アセット配信ハンドラがアップロードされたファイルをインラインで提供し、コンテンツタイプにマジックバイト検出に依存しています。この手法では、HTML、SVG、XHTML などのテキストベースのフォーマットが識別されません。これらのファイルは、Content-Type が空、X-Content-Type-Options: nosniff ヘッダーが存在しない、かつインライン配信として提供されるため、ブラウザによるコンテンツの検出(sniffing)とアクティブコンテンツのレンダリングを可能にしてしまいます。認証済みユーザーは、JavaScript を含む HTML または SVG ファイルをノートアセットとしてアップロードできます。被害者がアセット URL にアクセスすると、そのスクリプトはアプリケーションのオリジンで実行され、被害者の認証済みセッションおよび API アクションにアクセスできます。この問題はバージョン 0.19.2 で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.