Memos
Уязвимости
73
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02818
Распределение по критичности
Критический
6
Высокий
16
Средний
51
Низкий
0
Затронутые диапазоны версий
< 0.10.0< 0.13.2< 0.15.1< 0.16.1< 0.9.0< 0.9.1≤ 0.13.2≤ 0.18.1≤ 0.20.1≤ 0.24.3
Также сопоставлено как (исходные строки): memos
Топ уязвимостей
CVE-2025-50738Приложение Memos, вплоть до версии v0.24.3, позволяет встраивать изображения маркировки с произвольными URL-адресами. Когда пользователь просматривает памятку, содержащую такое изображение, его браузер автоматически извлекает URL-адрес изображения без явного согласия пользователя или взаимодействия, помимо просмотра служебной записки. Это может быть использовано злоумышленником для раскрытия IP-адреса пользователя просмотра, строкы браузера User-Agent и, возможно, другой информации для запроса на сервер, контролируемый злоумышленником, что приводит к раскрытию информации и отслеживанию пользователей.
CVE-2025-22952elestio memos v0.23.0 уязвим к Подделке запросов на стороне сервера (SSRF) из-за недостаточной проверки URL, предоставленных пользователем, которые могут быть использованы для выполнения атак SSRF.
CVE-2023-4696Неправильный контроль доступа в репозитории GitHub usememos/memos до 0.13.2.
CVE-2022-4686Обход авторизации через управляемый пользователем ключ в репозитории GitHub usememos/memos до версии 0.9.0.
CVE-2022-4866Межсайтовый скриптинг (XSS) - сохраненный в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4865Межсайтовый скриптинг (XSS) - сохраненный в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2023-5036Подделка межсайтовых запросов (CSRF) в репозитории GitHub usememos/memos до версии 0.15.1.
CVE-2023-4697Неправильное управление привилегиями в репозитории GitHub usememos/memos до 0.13.2.
CVE-2022-4844Межсайтовая подделка запросов (CSRF) в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4809Неправильный контроль доступа в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4808Неправильное управление привилегиями в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4803Обход авторизации через ключ, контролируемый пользователем, в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4689Неправильный контроль доступа в репозитории GitHub usememos/memos до версии 0.9.0.
CVE-2022-4688Неправильная авторизация в репозитории GitHub usememos/memos до версии 0.9.0.
CVE-2022-4684Неправильный контроль доступа в репозитории GitHub usememos/memos до версии 0.9.0.
CVE-2024-41659memos - это ориентированный на конфиденциальность, легкий сервис для ведения заметок. В memos 0.20.1 и более ранних версиях существует неправильная конфигурация CORS, при которой произвольный источник отражается с Access-Control-Allow-Credentials, установленным в значение true. Это может позволить атакующему веб-сайту выполнить межсайтовый запрос, что позволит злоумышленнику читать личную информацию или вносить привилегированные изменения в систему от имени уязвимой учетной записи пользователя. Эта уязвимость исправлена в версии 0.21.0.
CVE-2022-4796Некорректное использование привилегированных API в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4687Некорректное использование привилегированных API в репозитории GitHub usememos/memos до версии 0.9.0.
CVE-2025-65795Неправильный контроль доступа в конечной точке usememos memos v0.25.2 позволяет неавторизованным злоумышленникам создавать произвольные учетные записи с помощью созданного запроса.
CVE-2023-4698Неправильная проверка ввода в репозитории GitHub usememos/memos до 0.13.2.
CVE-2022-4767Отказ в обслуживании в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2024-21635Memos - это сервис, основанный на конфиденциальности, легкий заметки, который использует Access Tokens для аутентификации доступа к приложениям. Когда пользователь меняет свой пароль, существующий список Токенов Доступа остается действительным, а не истекает. Если пользователь обнаружит, что его учетная запись была скомпрометирована, он может обновить свой пароль. Однако в версиях до 0.18.1 включительный плохой актер по-прежнему будет иметь доступ к своей учетной записи, потому что токен доступа плохого актера остается в списке в качестве действительного токена. Пользователь должен будет вручную удалить токен доступа плохого актера, чтобы защитить свою учетную запись. Список Access Tokens имеет общее Описание, которое затрудняет определение плохого актера в списке Токенов Доступа. Известная исправленная версия Memos недоступна. Чтобы улучшить безопасность Memos, все токены доступа должны быть отозваны, когда пользователь меняет свой пароль. Это удаляет сеанс для всех устройств пользователя и побуждает пользователя снова войти в систему. Можно рассматривать старые токены доступа как «недействительные», потому что эти токены доступа были созданы со старым паролем.
CVE-2025-65797Неправильный контроль доступа в службе Identity Provider служебные заметки v0.25.2 позволяет злоумышленникам с низкоуровневыми привилегиями произвольно изменять или удалять зарегистрированных поставщиков идентификационных данных, что приводит к захвату учетной записи или отказу в обслуживании (DoS).
CVE-2022-4863Неправильная обработка недостаточных разрешений или привилегий в репозитории GitHub usememos/memos до версии 0.9.1.
CVE-2022-4850Межсайтовая подделка запросов (CSRF) в репозитории GitHub usememos/memos до версии 0.9.1.