Platform
go
Component
note-mark
Opgelost in
0.19.3
0.0.0-20260411145018-6bb62842ccb9
CVE-2026-40262 beschrijft een stored same-origin Cross-Site Scripting (XSS) kwetsbaarheid in Note Mark. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om kwaadaardige HTML, SVG of XHTML bestanden te uploaden als notatie assets, die vervolgens in de browser van een slachtoffer worden uitgevoerd. De kwetsbaarheid treft versies 0.19.0 tot en met 0.19.2 van Note Mark. Een fix is beschikbaar in versie 0.19.2.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de browser van een geauthenticeerde gebruiker. Dit kan leiden tot het stelen van sessiecookies, het wijzigen van de inhoud van de pagina, het doorsturen van de gebruiker naar kwaadaardige websites of het uitvoeren van andere acties namens de gebruiker. De impact is aanzienlijk omdat de aanvaller toegang kan krijgen tot Note Mark API-acties als het slachtoffer, waardoor gevoelige informatie kan worden gestolen of de applicatie kan worden misbruikt. Het feit dat bestanden inline worden geserveerd zonder veilige content types en nosniff maakt deze exploitatie mogelijk.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-16. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de relatief eenvoudige exploitatie maakt het een aantrekkelijk doelwit voor aanvallers. De CVSS-score van 8.7 (HIGH) duidt op een significant risico. Er zijn geen KEV-listings bekend op het moment van schrijven.
Organizations using Note Mark for internal collaboration or knowledge management are at risk, particularly those relying on older versions (0.19.0 - 0.19.2). Shared hosting environments where multiple users have access to the Note Mark instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to affect other users.
• linux / server: Monitor Note Mark application logs for file uploads with suspicious content types (e.g., text/html, image/svg+xml) or unusual filenames. Use grep to search for patterns indicative of XSS payloads within uploaded files.
grep -r '<script' /var/log/notemark/upload.log• generic web: Examine Note Mark's access logs for requests to asset endpoints with unusual parameters or user agents. Use curl to test asset endpoints with potentially malicious payloads.
curl -X POST -d '<script>alert("XSS")</script>' http://your-notemark-instance/assets/uploaddisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Note Mark versie 0.19.2 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om HTML-injectie te detecteren en te blokkeren. Controleer de configuratie van Note Mark om te verzekeren dat bestanden niet inline worden geserveerd zonder de juiste content type headers en nosniff attribuut. Na de upgrade, verifieer de fix door te proberen een HTML-bestand met kwaadaardige JavaScript-code te uploaden en te controleren of de code niet wordt uitgevoerd.
Actualice a la versión 0.19.2 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema al implementar una validación adecuada del tipo de contenido para los archivos cargados y evitar la ejecución de scripts maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40262 is a stored XSS vulnerability in Note Mark versions 0.19.0 through 0.19.2, allowing authenticated users to execute malicious code in other users' browsers.
You are affected if you are using Note Mark versions 0.19.0, 0.19.1, or 0.19.2. Upgrade to version 0.19.2 or later to resolve the vulnerability.
Upgrade Note Mark to version 0.19.2 or later. Consider implementing stricter content type validation and CSP as temporary mitigations.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation, and it's recommended to apply the fix promptly.
Refer to the Note Mark security advisory for detailed information and updates: [Replace with actual advisory URL when available]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.