Blinko — это проект для создания заметок на картах с использованием искусственного интеллекта. До версии 1.8.4 конечная точка файлового сервера не выполняет проверки разрешений для temp/path и не фильтрует последовательности обхода пути, что позволяет неавторизованным злоумышленникам читать произвольные файлы на сервере. Когда запланированные задачи резервного копирования включены, злоумышленники могут читать файлы резервных копий, чтобы получить все пользовательские заметки и пользовательские ТОКЕНЫ.
Эта проблема исправлена в версии 1.8.4.
Показать оригинальное описание (EN)
Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, the file server endpoint does not perform permission checks on the temp/ path and does not filter path traversal sequences, allowing unauthorized attackers to read arbitrary files on the server. When scheduled backup tasks are enabled, attackers can read backup files to obtain all user notes and user TOKENS. This issue has been patched in version 1.8.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Blinko Blinko
cpe:2.3:a:blinko:blinko:*:*:*:*:*:*:*:*
|
— |
1.8.4
|