CVE-2026-23480: Kritische Sicherheitslücke in KI-Notiz-App Blinko
⚠️ CVE-Referenzen:
CVE-2026-23480
Zusammenfassung
Blinko, eine KI-gesteuerte Notiz-App, wies bis Version 1.8.4 eine Privileg-Eskalations-Schwachstelle auf. Jeder angemeldete Nutzer konnte über die upsertUser-Funktion die Passwörter anderer Nutzer ändern und so die komplette Kontrolle über deren Konten erlangen. Der Patch in Version 1.8.4 behebt dieses kritische Sicherheitsproblem.
Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, there is a privilege escalation vulnerability. The upsertUser endpoint has 3 issues: it is missing superAdminAuthMiddleware, any logged-in user can call it; the originalPassword is an optional parameter and if not provided password verification is skipped; there is no check for input.id === ctx.id (ownership verification). This could result in any authenticated user modifying other users' passwords, direct escalation to superadmin, and complete account takeover. This issue has been patched in version 1.8.4.
Quelle: app.opencve.io