Plateforme
go
Composant
note-mark
Corrigé dans
0.19.3
0.0.0-20260411145018-6bb62842ccb9
Une vulnérabilité XSS stockée (stored Cross-Site Scripting) a été découverte dans Note Mark. Cette faille permet à un utilisateur authentifié de télécharger un fichier HTML, SVG ou XHTML en tant qu'actif de note, et de l'exécuter dans le navigateur d'une victime. Les versions affectées sont comprises entre 0.19.0 et 0.19.2 (exclus). Une correction est disponible dans la version 0.19.2.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web de Note Mark, qui sera ensuite exécuté dans le contexte du navigateur de l'utilisateur victime. Cela peut conduire à diverses attaques, telles que le vol de cookies de session, le détournement de clics, la modification du contenu de la page web, ou même l'accès non autorisé aux API Note Mark au nom de la victime. Le fait que l'application serve ces fichiers en ligne sans définir un type de contenu sûr et sans l'en-tête nosniff aggrave le risque, car les navigateurs peuvent interpréter et exécuter activement le contenu des fichiers téléchargés.
Cette vulnérabilité a été rendue publique le 2026-04-16. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. L'absence de nosniff et la capacité de servir des fichiers HTML en ligne sans validation appropriée rappellent des schémas d'attaque similaires à ceux observés dans d'autres applications web.
Organizations using Note Mark for internal collaboration or knowledge management are at risk, particularly those relying on older versions (0.19.0 - 0.19.2). Shared hosting environments where multiple users have access to the Note Mark instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to affect other users.
• linux / server: Monitor Note Mark application logs for file uploads with suspicious content types (e.g., text/html, image/svg+xml) or unusual filenames. Use grep to search for patterns indicative of XSS payloads within uploaded files.
grep -r '<script' /var/log/notemark/upload.log• generic web: Examine Note Mark's access logs for requests to asset endpoints with unusual parameters or user agents. Use curl to test asset endpoints with potentially malicious payloads.
curl -X POST -d '<script>alert("XSS")</script>' http://your-notemark-instance/assets/uploaddisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Note Mark vers la version 0.19.2, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé de désactiver temporairement la fonctionnalité de téléchargement de fichiers HTML, SVG ou XHTML. En attendant, une configuration du pare-feu applicatif web (WAF) peut être mise en place pour bloquer les requêtes contenant des balises HTML suspectes. Il est également conseillé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en essayant de télécharger un fichier HTML malveillant et en observant si le code est exécuté.
Actualice a la versión 0.19.2 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema al implementar una validación adecuada del tipo de contenido para los archivos cargados y evitar la ejecución de scripts maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40262 is a stored XSS vulnerability in Note Mark versions 0.19.0 through 0.19.2, allowing authenticated users to execute malicious code in other users' browsers.
You are affected if you are using Note Mark versions 0.19.0, 0.19.1, or 0.19.2. Upgrade to version 0.19.2 or later to resolve the vulnerability.
Upgrade Note Mark to version 0.19.2 or later. Consider implementing stricter content type validation and CSP as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, and it's recommended to apply the fix promptly.
Refer to the Note Mark security advisory for detailed information and updates: [Replace with actual advisory URL when available]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.