プラットフォーム
go
コンポーネント
note-mark
修正版
0.19.3
0.0.0-20260411145018-6bb62842ccb9
CVE-2026-40262は、Note Markのバージョン0.19.0から0.19.2に影響を与える保存型クロスサイトスクリプティング(XSS)脆弱性です。認証されたユーザーは、悪意のあるHTML、SVG、またはXHTMLファイルをノート資産としてアップロードし、そのファイルが被害者のブラウザで実行される可能性があります。この脆弱性は、Note Mark APIへの不正アクセスを可能にし、機密情報の漏洩や悪意のある操作につながる可能性があります。バージョン0.19.2へのアップデートで修正されています。
この脆弱性は、攻撃者がNote Markの認証済みユーザーになりすますことを可能にします。攻撃者は、悪意のあるHTMLファイルをアップロードすることで、被害者のブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者はCookieを盗み、機密情報を取得したり、ユーザーの代わりにアクションを実行したりすることができます。例えば、攻撃者は、被害者のアカウントを使用して、ノートを作成、編集、削除したり、他のユーザーのノートにアクセスしたりする可能性があります。この脆弱性は、Note Markを広く使用している組織にとって、重大なリスクとなります。攻撃者は、この脆弱性を利用して、機密情報を盗み出し、組織の評判を損なう可能性があります。
CVE-2026-40262は、2026年4月16日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明です。この脆弱性は、Note Markを使用しているすべての組織にとって、優先的に対応すべき脆弱性です。
Organizations using Note Mark for internal collaboration or knowledge management are at risk, particularly those relying on older versions (0.19.0 - 0.19.2). Shared hosting environments where multiple users have access to the Note Mark instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to affect other users.
• linux / server: Monitor Note Mark application logs for file uploads with suspicious content types (e.g., text/html, image/svg+xml) or unusual filenames. Use grep to search for patterns indicative of XSS payloads within uploaded files.
grep -r '<script' /var/log/notemark/upload.log• generic web: Examine Note Mark's access logs for requests to asset endpoints with unusual parameters or user agents. Use curl to test asset endpoints with potentially malicious payloads.
curl -X POST -d '<script>alert("XSS")</script>' http://your-notemark-instance/assets/uploaddisclosure
エクスプロイト状況
EPSS
0.01% (1% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、Note Markをバージョン0.19.2にアップデートすることです。アップデートがすぐに利用できない場合は、WAF(Web Application Firewall)を使用して、悪意のあるHTMLファイルのアップロードをブロックすることを検討してください。また、入力検証を強化し、HTMLエンコードを適用することで、XSS攻撃のリスクを軽減できます。Note Markのログを監視し、不審なアクティビティを検出することも重要です。アップデート後、Note Markのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice a la versión 0.19.2 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema al implementar una validación adecuada del tipo de contenido para los archivos cargados y evitar la ejecución de scripts maliciosos.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40262は、Note Markのバージョン0.19.0から0.19.2に影響を与える保存型クロスサイトスクリプティング(XSS)脆弱性です。認証されたユーザーが悪意のあるHTMLファイルをアップロードし、被害者のブラウザで実行される可能性があります。
Note Markのバージョン0.19.0から0.19.2を使用している場合は、この脆弱性の影響を受けています。
Note Markをバージョン0.19.2にアップデートしてください。アップデートがすぐに利用できない場合は、WAFを使用して悪意のあるファイルのアップロードをブロックすることを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は高いと考えられます。
Note Markの公式アドバイザリは、Note Markのウェブサイトまたはセキュリティブログで確認してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。