CVE-2026-35593

Nome do Software Vulnerável e Versões Afetadas Trilium Notes versões anteriores a 0.102.2

Descrição Um invasor autenticado pode realizar a Inclusão de Arquivo Local (Local File Inclusion), que é uma falha que permite a leitura de arquivos arbitrários no sistema de arquivos do servidor. O problema ocorre na função uploadModifiedFileToAttachment(), acionada por uma requisição POST para o endpoint '/api/attachments/{attachmentId}/upload-modified-file'. Ao fornecer um caminho na variável filePath do corpo da requisição, o conteúdo de um anexo é substituído pelo conteúdo do arquivo especificado. O invasor pode então recuperar esse conteúdo através do endpoint '/api/attachments/{attachmentId}/download'. Isso pode expor dados sensíveis, como chaves SSH, credenciais, configurações e arquivos do sistema operacional, levando potencialmente à execução remota de código e ao comprometimento de aplicações co-hospedadas.

Recomendações Atualizar para a versão 0.102.2. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/attachments/{attachmentId}/upload-modified-file'.