CVE-2026-40263

Fiche CVE

Go Énumération de noms d'utilisateur

Vulnérabilité d'énumération de noms d'utilisateur dans Note Mark

La faille permet à un attaquant non authentifié d'énumérer des noms d'utilisateur valides via le point de terminaison de connexion en mesurant les temps de réponse. Cela peut conduire à des attaques ciblées sur les identifiants. La vulnérabilité a été corrigée dans la version 0.19.2.

solution disponible faible

Détection 100/100 Remédiation 75/100

Catégorisation Go

Énumération de noms d'utilisateur

Que font les attaquants ? Scénario type

Les attaquants peuvent exploiter cette faille pour déterminer quels noms d'utilisateur existent dans le système, facilitant ainsi des attaques par force brute sur les mots de passe associés.

Risque si non traité faible

Le risque est faible, mais il permettrait à un attaquant de cibler des comptes spécifiques pour des attaques de connexion.

Les utilisateurs de Note Mark dans les versions antérieures à 0.19.2 sont concernés. Vérifiez si vous utilisez une version vulnérable en consultant les versions déployées de votre application.

Éditeur	Produit	Écosystème	Versions connues
enchant97	note-mark	n/d	< 0.19.2
Go	github.com/enchant97/note-mark/backend	Go	n/d
go	github.com/enchant97/note-mark/backend	go	0.19.2-0.20260411145025-cf4c6f6acf70

Étape 1
Mettez à jour vers la version 0.19.2 ou supérieure.
Étape 2
Vérifiez les versions de Note Mark déployées dans votre environnement.
Étape 3
Surveillez les tentatives de connexion suspectes sur votre application.

Confirmation confirmée

CVE confirmée par une source officielle.

Détection disponible

Détection possible en vérifiant la présence des produits affectés enchant97 / note-mark, Go / github.com/enchant97/note-mark/backend, go / github.com/enchant97/note-mark/backend. Contrôler les versions et l'exposition des composants référencés.

Remédiation solution disponible

Version corrigée publiée : 0.19.2-0.20260411145025-cf4c6f6acf70.

2026-04-17 15:29 UTC Dernière mise à jour connue mise_a_jour
2026-04-16 23:53 UTC Publication de la CVE publication
2026-04-13 19:31 UTC Version corrigée publiée : 0.19.2-0.20260411145025-cf4c6f6acf70. solution_available

Publication: 2026-04-16 23:53 UTC
Dernière mise à jour: 2026-04-17 15:29 UTC
Première détection locale: 2026-04-19 19:13 UTC
Dernier traitement: 2026-04-19 19:13 UTC
Score: 3.7
Source score: NVD cvssMetricV31
Publication fiche: 2026-04-19 19:13 UTC

Référence technique

CVE.org consultée le 2026-04-19 19:13 UTC
NVD consultée le 2026-04-19 19:13 UTC
GitHub Advisory Database consultée le 2026-04-19 19:13 UTC
OSV.dev consultée le 2026-04-19 19:13 UTC

https://github.com/enchant97/note-mark/security/advisories/GHSA-w6m9-39cv-2fwp x_refsource_CONFIRM
https://github.com/enchant97/note-mark/commit/cf4c6f6acf70b569d80396d323b067c00d45c034 x_refsource_MISC
https://github.com/enchant97/note-mark PACKAGE
https://github.com/advisories/GHSA-w6m9-39cv-2fwp Vendor Advisory

CVE-2026-40263

CVE-2026-40263

Résumé opérationnel

Vérification d’impact

Procédure recommandée

Qualification et chronologie