CVE-2026-41571 in note-markИнформация

Сводка

по VulDB • 20.05.2026

Примечание: Mark — это приложение для заметок с открытым исходным кодом. В версии 0.19.2 функция IsPasswordMatch в файле backend/db/models.go использует жестко закодированный плейсхолдер bcrypt("null") в качестве резервного варианта, если у пользователя нет сохраненного пароля. Пользователи, зарегистрированные через OIDC, создаются с пустым паролем, поэтому любой, кто отправит пароль "null" на внутренний эндпоинт входа, получит действительную сессию от имени этого пользователя. Обход защиты является неавторизованным и не требует взаимодействия с пользователем. Эта проблема была исправлена в версии 0.19.3.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

21.04.2026

Раскрытие

04.05.2026

Модерация

принято

Вход

VDB-361011

CPE

готов

CWE

CWE-287 (Подтверждённый)

CVSS

9.4 (CNA)

EPSS

0.00053

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41571
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41571
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41571/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!