| CVE ID | CVE-2026-9279 |
| Data publikacji | 09 czerwca 2026 |
| Producent podatnego oprogramowania | Logseq |
| Nazwa podatnego oprogramowania | Logseq |
| Podatne wersje | Wszystkie do 0.10.15 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-47899 |
| Data publikacji | 09 czerwca 2026 |
| Producent podatnego oprogramowania | Logseq |
| Nazwa podatnego oprogramowania | Logseq |
| Podatne wersje | Wszystkie do 0.10.15 włącznie |
| Typ podatności (CWE) | Exposed Dangerous Method or Function (CWE-749) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-47900 |
| Data publikacji | 09 czerwca 2026 |
| Producent podatnego oprogramowania | Logseq |
| Nazwa podatnego oprogramowania | Logseq |
| Podatne wersje | Wszystkie do 0.10.15 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2026-47901 |
| Data publikacji | 09 czerwca 2026 |
| Producent podatnego oprogramowania | Logseq |
| Nazwa podatnego oprogramowania | Logseq |
| Podatne wersje | Wszystkie do 0.10.15 włącznie |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Logseq i koordynował proces ujawniania informacji.
Podatność CVE-2026-9279: Logseq udostępnia procedurę IPC, która umożliwia procesowi renderującemu wykonywanie poleceń powłoki. Chociaż lista dozwolonych poleceń ogranicza nazwy poleceń (np. git, pandoc, grep), ciąg argumentów jest dołączany do polecenia i przekazywany do child_process.spawn z opcją shell: true, co umożliwia wykorzystanie metaznaków powłoki w argumentach do obejścia tego ograniczenia. Atakujący posiadający możliwość wykonania kodu JavaScript w procesie renderującym (np. poprzez XSS lub złośliwą wtyczkę) może wykonywać dowolne polecenia powłoki z uprawnieniami procesu Logseq, co prowadzi do zdalnego wykonania kodu na systemie hosta.
Podatność CVE-2026-47899: Skrypt inicjalizacyjny frameworka Electron w Logseq udostępnia metodę API, która umożliwia procesowi renderującemu wywoływanie procedur IPC bez odpowiedniej walidacji ścieżek. Atakujący posiadający możliwość wykonania kodu JavaScript w procesie renderującym (np. poprzez XSS lub złośliwą wtyczkę) może odczytywać, modyfikować lub usuwać dowolne pliki w systemie użytkownika.
Podatność CVE-2026-47900: Logseq jest podatny na atak typu Stored Cross-Site Scripting (XSS). Złośliwa wtyczka może umieścić ładunek JavaScript w polu name pliku package.json, które jest renderowane przy użyciu innerHTML bez odpowiedniej sanitizacji, co umożliwia wykonanie dowolnego kodu w uprzywilejowanym kontekście aplikacji.
Podatność CVE-2026-47901: Logseq jest podatny na ucieczkę z sandboxa, w ramach której wtyczki uruchamiane w izolowanych ramkach iframe mogą wstrzykiwać dowolne atrybuty HTML, takie jak procedury obsługi zdarzeń, do elementu kontenera w strukturze DOM aplikacji. Ze względu na wyłączoną politykę Content Security Policy (CSP) złośliwa wtyczka może wykonywać dowolny kod JavaScript w uprzywilejowanym kontekście aplikacji, potencjalnie uzyskując nieuprawniony dostęp do interfejsów API systemu plików.
Jedynie wersja v0.10.15 została przetestowana i potwierdzona jako podatna. Status pozostałych wersji jest nieznany, ponieważ problem nie został usunięty przez producenta.
Podziękowania
Za zgłoszenie podatności dziękujemy Bartłomiejowi Dmitrukowi (striga.ai).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.