CVE-2026-39311

Nome do Software Vulnerável e Versões Afetadas Trilium Notes versões anteriores a 0.102.2

Descrição O Trilium Notes contém uma falha onde a falta de sanitização de SVG, uma Política de Segurança de Conteúdo (CSP) desativada e uma API de execução de backend publicamente acessível permitem a Execução Remota de Código (RCE) não autenticada. A aplicação serve anexos SVG com o tipo MIME image/svg+xml sem sanitização e desativa o middleware de Política de Segurança de Conteúdo, removendo as defesas contra a execução de scripts em ativos servidos. Devido à Política de Mesma Origem (Same-Origin Policy), um SVG malicioso pode extrair o csrfToken do corpo do documento através de uma requisição fetch('/'). Esse token pode então ser usado para enviar uma requisição assinada para o endpoint '/api/script/exec' para executar código Node.js arbitrário no servidor. Um invasor pode comprometer a instância do servidor enganando um usuário autenticado para visualizar um anexo SVG compartilhado.

Recomendações Atualizar para a versão 0.102.2.