CVE-2026-41571
KrytyczneStreszczenie
Aplikacja do robienia notatek Note Mark w wersji 0.19.2 ma lukę, w której funkcja IsPasswordMatch w backendzie używa twardo zakodowanego hasła bcrypt("null") dla użytkowników bez zapisanych haseł. Użytkownicy zarejestrowani w OIDC są tworzeni z pustym hasłem, co pozwala na uzyskanie ważnej sesji przez przesłanie hasła: "null" do wewnętrznego punktu końcowego logowania.
Ocena ryzyka
Luka ta umożliwia nieautoryzowanym użytkownikom dostęp do kont z pustymi hasłami, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 0.19.3, w której problem został naprawiony, aby zabezpieczyć się przed tym rodzajem ataku.
Oryginalny opis (angielski, źródło NVD)
Note Mark is an open-source note-taking application. In version 0.19.2, IsPasswordMatch in backend/db/models.go falls back to a hard-coded bcrypt("null") placeholder whenever a user has no stored password. OIDC-registered users are created with an empty password, so anyone who submits password: "null" to the internal login endpoint receives a valid session for that user. The bypass is unauthenticated and requires no user interaction. This issue has been patched in version 0.19.3.

