CVE-2026-45668
CriticalCVSS 9.3Exploitation Probability (EPSS)
Low risk7th percentile — higher than 7% of all known CVEs
Summary
Trilium Notes to wieloplatformowa aplikacja do tworzenia hierarchicznych notatek, która przed wersją 0.102.2 była podatna na zdalne wykonanie kodu (RCE) oraz ataki XSS. Wykorzystując złośliwy archiwum ZIP z włączonym bezpiecznym importem, atakujący mógł przeprowadzić atak poprzez przejście do ścieżki #docName oraz wykorzystanie notatki ładującej z odpowiednim oznaczeniem.
Risk Assessment
Organizacje korzystające z Trilium Notes przed wersją 0.102.2 były narażone na zdalne wykonanie kodu oraz ataki XSS, co mogło prowadzić do kompromitacji danych i systemów. Włączenie nodeIntegration w kliencie desktopowym zwiększa ryzyko poważnych incydentów bezpieczeństwa.
Recommendation
Zaleca się aktualizację Trilium Notes do wersji 0.102.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wyłączenie nodeIntegration w aplikacjach Electron, aby zminimalizować ryzyko podobnych ataków.
Original NVD description (English source)
Trilium Notes is a cross-platform, hierarchical note taking application focused on building large personal knowledge bases. Prior to 0.102.2, a malicious ZIP archive imported with safe import enabled achieves RCE via #docName path traversal and XSS by combining a payload note (type: code, mime: text/plain) containing raw HTML/JS and a trigger note (type: doc or type: launcher) with a #docName label that uses ../ path traversal to point at the payload note's API endpoint. The desktop client Electron renderer runs with nodeIntegration enabled, so an RCE is triggered once the payload is executed. This vulnerability is fixed in 0.102.2.

