CVE-2026-44522

Nome do Software Vulnerável e Versões Afetadas Note Mark versões 0.13.0 até 0.19.3

Descrição Usuários autenticados podem fazer upload de ativos para notas através do endpoint "/api/notes/{noteID}/assets". O aplicativo armazena o nome do arquivo do ativo fornecido no cabeçalho de requisição HTTP X-Name diretamente no banco de dados sem sanitização, falhando em filtrar separadores de caminho ou sequências de travessia de diretório.

Quando um administrador executa os comandos CLI de exportação de dados note-mark migrate export-v1 ou note-mark migrate export, o nome do arquivo armazenado é usado em chamadas filepath.Join() e path.Join(). Como essas funções resolvem sequências ../, um invasor pode fazer com que o processo de exportação grave arquivos em locais arbitrários no sistema de arquivos. Como o processo de exportação geralmente é executado com privilégios de root, isso pode levar à Execução Remota de Código ao sobrescrever binários críticos do sistema, como /bin/bash, ou modificar arquivos de unidade do systemd e tarefas do cron.

Recomendações Atualize para a versão 0.19.4. Como medida paliativa temporária, restrinja o uso do cabeçalho X-Name para garantir que ele não contenha separadores de caminho ou sequências de travessia de diretório antes de fazer o upload de ativos.