CVE-2026-35593 in Trilium
요약
\~에 의해 VulDB • 2026. 05. 20.
Trilium Notes는 대규모 개인 지식 베이스를 구축하기 위한 오픈소스, 크로스플랫폼 계층형 노트 작성 애플리케이션입니다. 버전 0.102.1 및 이전 버전은 로컬 파일 포함(Local File Inclusion) 취약점에 노출되어 있으며, 이를 통해 인증된 공격자가 서버 파일 시스템에서 임의의 민감한 파일을 읽을 수 있습니다. /api/attachments/{attachmentId}/upload-modified-file로 POST 요청이 수신될 때 호출되는 uploadModifiedFileToAttachment 함수는 요청 본문(filePath)에 제공된 다른 파일의 내용으로 첨부 파일의 내용을 교체합니다. 이후 첨부 파일의 내용은 /api/attachments/{attachmentId}/download에서 확인할 수 있습니다. 이를 통해 SSH 키, 자격 증명, 구성 파일 및 OS 파일과 같은 민감한 시스템 파일이 노출되며, 이로 인해 원격 코드 실행(RCE) 및 호스팅된 애플리케이션의 침해로 이어질 수 있습니다. 이 문제는 버전 0.102.2에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.