Katalog CVE

CVE-2026-47899

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Skrypt preload w Electronie w Logseq udostępnia metodę API, która pozwala procesowi renderera na wywoływanie handlerów IPC bez odpowiedniej walidacji ścieżek. Atakujący z możliwością wykonania JavaScript w rendererze może odczytywać, zapisywać lub usuwać dowolne pliki na systemie użytkownika.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych użytkowników, umożliwiając atakującym manipulację plikami na ich systemach. W szczególności, może to prowadzić do utraty danych lub wprowadzenia złośliwego oprogramowania.

Rekomendacja

Zaleca się aktualizację Logseq do najnowszej wersji, aby zminimalizować ryzyko związane z tą podatnością. Należy również monitorować i ograniczać możliwość wykonywania JavaScript w rendererze.

Oryginalny opis (angielski, źródło NVD)

The Electron preload script in Logseq exposes an API method that allows the renderer process to invoke IPC handlers without proper path validation. An attacker with JavaScript execution in the renderer (e.g. via XSS or a malicious plugin), can read, write, or delete arbitrary files on the user's system. While only version v0.10.15 was tested and confirmed as vulnerable, status of other versions is unknown since this issue was not addressed by a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS