CVE-2026-39310

Nome do Software Vulnerável e Versões Afetadas Trilium Notes versões anteriores a 0.102.2

Descrição O Trilium Notes é um aplicativo de notas hierárquicas. Em um ambiente Electron, a API Clipper desativa explicitamente o middleware de autenticação, permitindo a ignoração completa da autenticação. Isso expõe endpoints como '/api/clipper/notes' à rede sem a necessidade de senha, token de API ou proteção contra Cross-Site Request Forgery (CSRF)—um mecanismo usado para evitar que comandos não autorizados sejam transmitidos a partir de um aplicativo web em que o usuário confia. Um invasor em uma rede compartilhada pode identificar instâncias digitalizando portas de intervalo alto e enviando uma solicitação não autenticada ao endpoint de handshake do Clipper, que retorna o nome do aplicativo e a versão do protocolo. Isso pode levar ao acesso não autorizado a dados, phishing e comprometimento do sistema local.

Recomendações Atualize para a versão 0.102.2.