CRITICAL🇬🇧 English

CVE-2025-50738

Ujawnienie danych użytkownika przez osadzanie obrazków Markdown w Memos

CVSS 9.8v3.1pub. 2025-07-29upd. 2025-08-22

Aplikacja Memos do wersji v0.24.3 umożliwia osadzanie w notatkach obrazków Markdown z dowolnymi adresami URL, co prowadzi do automatycznego ujawnienia adresu IP i innych danych przeglądarki użytkownika przeglądającego taką notatkę. Podatność pozwala na śledzenie użytkowników i zbieranie informacji o ich środowisku bez ich świadomej zgody.

Pokaż oryginał (EN)

The Memos application, up to version v0.24.3, allows for the embedding of markdown images with arbitrary URLs. When a user views a memo containing such an image, their browser automatically fetches the image URL without explicit user consent or interaction beyond viewing the memo. This can be exploited by an attacker to disclose the viewing user's IP address, browser User-Agent string, and potentially other request-specific information to the attacker-controlled server, leading to information disclosure and user tracking.

🤖 Analiza AI
Jak działa

Atakujący tworzy notatkę (memo) zawierającą osadzony obrazek Markdown wskazujący na kontrolowany przez siebie serwer. Gdy ofiara wyświetla taką notatkę, jej przeglądarka automatycznie wysyła żądanie HTTP do serwera atakującego w celu pobrania obrazka. W tym żądaniu przesyłane są m.in. adres IP klienta oraz nagłówek User-Agent przeglądarki, a potencjalnie również inne metadane żądania. Cały proces zachodzi bez jakiejkolwiek dodatkowej interakcji użytkownika poza samym otwarciem notatki.

Skutki

Atakujący może uzyskać adres IP ofiary, ciąg identyfikacyjny przeglądarki (User-Agent) oraz inne informacje zawarte w żądaniu HTTP, co umożliwia nieautoryzowane śledzenie użytkowników i profilowanie ich środowiska sieciowego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie możliwości tworzenia notatek przez niezaufanych użytkowników lub wdrożenie polityki Content Security Policy blokującej ładowanie zewnętrznych zasobów.

Kogo dotyczy

Usememos Memos do wersji v0.24.3 włącznie

Uwagi

Podatność zgłoszona i udokumentowana przez badacza w repozytorium GitHub (fai1424/Vulnerability-Research). Pomimo oceny CVSS 9.8 (CRITICAL) rzeczywisty wpływ ogranicza się do ujawnienia informacji (CWE-200) bez możliwości wykonania kodu czy przejęcia systemu, co warto uwzględnić przy ocenie ryzyka.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Usememos Memos

    APP
    Usememos
    ≤ 0.24.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-22952CRITICAL9.8PL ✓ten sam produkt

SSRF w Usememos Memos — brak walidacji URL dostarczanych przez użytkownika

CVE-2023-4696CRITICAL9.8ten sam produkt

Improper Access Control in GitHub repository usememos/memos prior to 0.13.2.

CVE-2022-4866CRITICAL9.0ten sam produkt

Cross-site Scripting (XSS) - Stored in GitHub repository usememos/memos prior to 0.9.1.

CVE-2022-4865CRITICAL9.0ten sam produkt

Cross-site Scripting (XSS) - Stored in GitHub repository usememos/memos prior to 0.9.1.

CVE-2022-4686CRITICAL9.8ten sam produkt

Authorization Bypass Through User-Controlled Key in GitHub repository usememos/memos prior to 0.9.0.