V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Blinko

Уязвимости
10
Эксплуатируемые
0
Критический
0
Высокий
2

Топ продуктов

Топ уязвимостей

CVE-2026-23882Blinko - это проект по заметке с картами с искусственным интеллектом. До версии 1.8.4 функция создания сервера MCP (Model Context Protocol) позволяет указывать произвольные команды и аргументы, которые выполняются при тестировании соединения. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23482Blinko - это проект по съемке карт с искусственным интеллектом. До версии 1.8.4 конечную точку файлового сервера не выполняет проверки разрешений на пути temp/.s. и не фильтрует последовательности обхода пути, позволяя несанкционированным злоумышленникам считывать произвольные файлы на сервере. Когда запланированные задачи резервного копирования включены, злоумышленники могут читать файлы резервной копии для получения всех заметок пользователей и пользовательских токенов. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23488Blinko - это проект по заметкам на картах с искусственным интеллектом. До версии 1.8.4 конечная точка /api/v/comment/create имеет уязвимость несанкционированного доступа, позволяющую злоумышленникам размещать комментарии на любой заметке (включая личные заметки) без разрешения, даже если заметка не была опубликована публично. Крепкая точка /api/v1/comment/list имеет ту же проблему, позволяя несанкционированный просмотр комментариев на всех заметках. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23486Blinko - это проект по заметкам на картах с искусственным интеллектом. До версии 1.8.4 общедоступная конечные точки раскрывает всю информацию о пользователях, включая имена пользователей, роли и даты создания учетной записи. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23485Blinko - это проект по заметкам на картах с искусственным интеллектом. До версии 1.8.4 параметр filePath принимает последовательности траверсий пути, что позволяет перечислять существование файлов на сервере с помощью различных ответов ошибок. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23483Blinko - это проект по съемке карт с искусственным интеллектом. В версиях от 1.8.3 и ранее конечные точки плагин-файлового сервера используют join() для консэттенирования путей, но не проверяет, находится ли последний путь в каталоге плагинов, что приводит к обходу пути. На момент публикации нет общедоступных патчей.
CVE-2026-23487Blinko - это проект по заметкам на картах с искусственным интеллектом. До версии 1.8.4 существует уязвимость IDOR, в которой user.detail Endpoint Leaks the Superadmin Token. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23484Blinko - это проект по заметкам на картах с искусственным интеллектом. В версиях от 1.8.3 и предшествующей параметр fileName не фильтруется, что позволяет тропальному пути записывать файлы в любом месте файловой системы. Более того, этот интерфейс требует только authProcedure (нормального пользователя), а не superAdminAuthMiddleware. На момент публикации нет общедоступных патчей.
CVE-2026-23481Blinko - это проект по съемке карт с искусственным интеллектом. До версии 1.8.4 существует аутентифицированная уязвимость произвольной записи файлов в saveAdditionalDevFile. Эта проблема была исправлена в версии 1.8.4.
CVE-2026-23480Blinko - это проект по съемке карт с искусственным интеллектом. До версии 1.8.4 существует уязвимость привилегий эскалации. У конечная точка upsertUser имеет 3 проблемы: в ней отсутствует superAdminAuthMiddleware, любой зарегистрированный пользователь может вызвать его; оригинальный Паролем является необязательным параметром, и если не предусмотрено, проверка пароля пропускается; нет проверки на наличие ввода.id === ctx.id (проверка собственности). Это может привести к тому, что любой аутентифицированный пользователь изменит пароли других пользователей, приведет к прямой эскалации до суперадминистрации и полному приобретению учетной записи. Эта проблема была исправлена в версии 1.8.4.
Открыть в каталоге с фильтром по вендору →