CVE-2026-23485

Blinko: Unauthorized Path Traversal File Enumeration - music-metadata

CVSS 6.9 MEDIUMEPSS 0.3%CWE-22

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 6.9EPSS 0.3%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

23 mar 2026Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Blinko is an AI-powered card note-taking project. Prior to version 1.8.4, the filePath parameter accepts path traversal sequences, allowing enumeration of file existence on the server via different error responses. This issue has been patched in version 1.8.4.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos afetados

blinkospace · blinko

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/blinkospace/blinko/commit/9d6fa80a3e11a99886f90e048657443335fd3e7d https://github.com/blinkospace/blinko/releases/tag/1.8.4 https://github.com/blinkospace/blinko/security/advisories/GHSA-5x64-pmfq-pw7q