Ranjivost u usememos omogućava neovlašćeni pristup token-ima
Otkrivena ranjivost CVE-2026-6634 u usememos-u omogućava neovlašćeni pristup tokenu autentifikacije putem manjih parametara u komponenti.
Šta se desilo?
Otkrivena je sigurnosna ranjivost u aplikaciji usememos verzije 0.22.1 i starije, koja dopušta neovlašćeni pristup memos_access_token tokenu. Problem se nalazi u komponenti UpdateInstanceSetting u datoteci src/App.tsx, gde manipulacija parametrima additionalStyle i additionalScript može dovesti do zaobilaženja autentifikacijskih provera.
Koga pogađa?
Korisnici i organizacije koje koriste usememos verziju 0.22.1 i starije su izloženi riziku. Pošto je napad moguće izvoditi na daljinu, svako sa pristupom osetljivim instancama aplikacije potencijalno može iskoristiti ovu ranjivost.
Kako se zaštititi?
- Hitno ažurirajte usememos na verziju noviju od 0.22.1
- Proverite pristupne logove za sumnjive zahteve upućene ka UpdateInstanceSetting komponenti
- Ograničite mrežni pristup usememos instancama samo na poverljive korisnike i sisteme
- Primenite stroga kontrola autentifikacije i autorizacije na nivou aplikacije
- Redovno pratite sigurnosne savete izdavača usememos-a
Tehnički detalji
CVE-2026-6634 ima ocenu težine 6.5 (MEDIUM) po CVSS skali. Ranjivost omogućava neovlašćeni pristup putem manipulacije parametara u zahtevima ka aplikaciji. Javno dostupan exploit kôd ukazuje da je ova ranjivost već pretraga za širom upotrebom. Proizvođač nije dao odgovor na raniju obaveštavnost, što dodatno komplikuje situaciju.
Preporuka Sajber Radara
Savetu korisnicima usememos-a da odmah pregledaju verziju svoje instalacije i sprovede ažuriranje. S obzirom na javnu dostupnost exploita, ova ranjivost predstavlja aktuelnu pretnju i zahteva hitnu pažnju.