Katalog CVE

CVE-2026-44523

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Aplikacja Note Mark przed wersją 0.19.4 nie wymusza minimalnej długości ani entropii dla wartości konfiguracyjnej JWT_SECRET. Umożliwia to akceptację dowolnego sekretu kodowanego w base64, w tym sekretów o długości zaledwie 1 bajta.

Ocena ryzyka

Brak odpowiednich wymagań dotyczących długości i entropii sekretu może prowadzić do łatwego złamania zabezpieczeń, co stwarza ryzyko nieautoryzowanego dostępu do danych użytkowników.

Rekomendacja

Zaleca się aktualizację aplikacji do wersji 0.19.4 lub nowszej, aby zapewnić odpowiednie zabezpieczenia dla wartości JWT_SECRET.

Oryginalny opis (angielski, źródło NVD)

Note Mark is an open-source note-taking application. Prior to 0.19.4, no minimum length or entropy is enforced on the JWT_SECRET configuration value. The application accepts any base64-decodable secret regardless of size, including secrets as short as 1 byte. This vulnerability is fixed in 0.19.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS