CVE-2026-44522 in note-mark
Сводка
по VulDB • 15.05.2026
Примечание: Note Mark — это приложение для заметок с открытым исходным кодом. В версиях от 0.13.0 до 0.19.4 (включительно) приложение Note Mark позволяет аутентифицированным пользователям загружать файлы в заметки через запрос POST /api/notes/{noteID}/assets, где имя файла передается через заголовок HTTP-запроса X-Name. Это значение сохраняется в базе данных без какой-либо санитизации или валидации: не выполняется фильтрация разделителей путей, не отклоняются последовательности обхода каталогов (directory traversal) и не используется функция filepath.Base() для удаления компонентов пути. Несанитизированное имя сохраняется в таблице note_assets (столбец Name, varchar(80)) в исходном виде. Когда администратор впоследствии выполняет команды экспорта данных через CLI (note-mark migrate export-v1 или note-mark migrate migrate export), сохраненное имя файла передается напрямую в вызовы filepath.Join() и path.Join() в качестве аргумента пути к выходному файлу для os.Create(). Поскольку функция filepath.Join() в Go разрешает последовательности ../ во время нормализации пути, управляемое атакующим имя файла, содержащее последовательности обхода каталогов, приводит к тому, что процесс экспорта записывает файлы в произвольные места в файловой системе, полностью выходя за пределы предполагаемой директории экспорта. Эта уязвимость исправлена в версии 0.19.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.