Katalog CVE

CVE-2026-41571

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Aplikacja do robienia notatek Note Mark w wersji 0.19.2 ma lukę, w której funkcja IsPasswordMatch w backendzie używa twardo zakodowanego hasła bcrypt("null") dla użytkowników bez zapisanych haseł. Użytkownicy zarejestrowani w OIDC są tworzeni z pustym hasłem, co pozwala na uzyskanie ważnej sesji przez przesłanie hasła: "null" do wewnętrznego punktu końcowego logowania.

Ocena ryzyka

Luka ta umożliwia nieautoryzowanym użytkownikom dostęp do kont z pustymi hasłami, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.

Rekomendacja

Zaleca się aktualizację aplikacji do wersji 0.19.3, w której problem został naprawiony, aby zabezpieczyć się przed tym rodzajem ataku.

Oryginalny opis (angielski, źródło NVD)

Note Mark is an open-source note-taking application. In version 0.19.2, IsPasswordMatch in backend/db/models.go falls back to a hard-coded bcrypt("null") placeholder whenever a user has no stored password. OIDC-registered users are created with an empty password, so anyone who submits password: "null" to the internal login endpoint receives a valid session for that user. The bypass is unauthenticated and requires no user interaction. This issue has been patched in version 0.19.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS