CVE-2026-45668
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Trilium Notes to wieloplatformowa aplikacja do tworzenia hierarchicznych notatek, która przed wersją 0.102.2 była podatna na zdalne wykonanie kodu (RCE) oraz ataki XSS. Wykorzystując złośliwy archiwum ZIP z włączonym bezpiecznym importem, atakujący mógł przeprowadzić atak poprzez przejście do ścieżki #docName oraz wykorzystanie notatki ładującej z odpowiednim oznaczeniem.
Ocena ryzyka
Organizacje korzystające z Trilium Notes przed wersją 0.102.2 były narażone na zdalne wykonanie kodu oraz ataki XSS, co mogło prowadzić do kompromitacji danych i systemów. Włączenie nodeIntegration w kliencie desktopowym zwiększa ryzyko poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Trilium Notes do wersji 0.102.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wyłączenie nodeIntegration w aplikacjach Electron, aby zminimalizować ryzyko podobnych ataków.
Oryginalny opis (angielski, źródło NVD)
Trilium Notes is a cross-platform, hierarchical note taking application focused on building large personal knowledge bases. Prior to 0.102.2, a malicious ZIP archive imported with safe import enabled achieves RCE via #docName path traversal and XSS by combining a payload note (type: code, mime: text/plain) containing raw HTML/JS and a trigger note (type: doc or type: launcher) with a #docName label that uses ../ path traversal to point at the payload note's API endpoint. The desktop client Electron renderer runs with nodeIntegration enabled, so an RCE is triggered once the payload is executed. This vulnerability is fixed in 0.102.2.

