В популярном инструменте для ведения заметок и управления знаниями Logseq выявлено сразу четыре уязвимости, три из которых получили статус критических. Проблемы затрагивают версию v0.10.15 и, предположительно, более ранние сборки. Разработчики пока не выпустили исправлений, что ставит под угрозу всех пользователей программы.Logseq - open-source-приложение, работающее на базе фреймворка Electron. Оно активно используется IT-специалистами, исследователями и журналистами для организации личной базы знаний. Многие доверяют ему конфиденциальные данные, включая рабочие заметки и пароли. Обнаруженные уязвимости позволяют атакующему выполнить произвольный код на устройстве жертвы, похитить файлы или даже полностью разрушить файловую систему. При этом вектор атаки может быть реализован двумя путями: через внедрение вредоносного JavaScript-кода на страницу приложения (например, посредством XSS-атаки, то есть межсайтового скриптинга) или через установку специально созданного вредоносного плагина.
Внедрение команд операционной системы
Наиболее опасной оказалась уязвимость CVE-2026-9279 с оценкой 8,7 балла по шкале CVSS (Common Vulnerability Scoring System, стандартный показатель критичности уязвимостей). Причина кроется в том, как Logseq обрабатывает вызовы через механизм IPC (межпроцессного взаимодействия). В приложении есть процедура, которая позволяет процессу-рендереру (отвечающему за отображение интерфейса) запускать системные команды. Разработчики попытались ограничить этот функционал белым списком: разрешены только команды "git", "pandoc", "grep". Однако строка аргументов просто склеивается с именем команды и передаётся в функцию "child_process.spawn" с опцией "shell: true". Это означает, что командная оболочка (shell) интерпретирует специальные символы в аргументах. Злоумышленник, имеющий возможность выполнить JavaScript внутри процесса-рендерера (через XSS или зловредный плагин), может подставить, например, точку с запятой и выполнить любую другую команду. Таким образом достигается удалённое выполнение кода (RCE, remote code execution) на хосте с правами процесса Logseq.
Произвольные операции с файлами
Уязвимость CVE-2026-47899 (также оценена в 8,7 балла) касается прелоад-скрипта Electron, который открывает API-методы для рендерера без должной проверки путей. Злоумышленник с тем же уровнем доступа может читать, изменять, переименовывать и удалять любые файлы в системе. Это даёт ему практически неограниченный контроль: от кражи баз данных до уничтожения системных файлов.
Сохранённый межсайтовый скриптинг
CVE-2026-47900 (средняя степень опасности - 4,6 балла) связана с обработкой метаданных плагинов. Если злоумышленник создаёт вредоносный плагин и помещает JavaScript-код в поле "name" файла "package.json", этот код будет вставлен в DOM-дерево страницы через свойство "innerHTML" без какой-либо очистки. В результате при загрузке плагина скрипт выполняется в контексте основного приложения, который имеет расширенные привилегии.
Побег из песочницы плагина
CVE-2026-47901 (тоже 4,6 балла) эксплуатирует слабость механизма изоляции. Плагины в Logseq работают в изолированных iframe (песочнице, sandbox). Из-за отключённой политики безопасности контента (CSP, Content Security Policy) вредоносный плагин может внедрить в родительский элемент HTML-атрибуты, например обработчики событий, которые выполнят произвольный JavaScript в контексте основного приложения. Это позволяет обойти песочницу и получить доступ к файловой системе.
Каковы последствия?
Комбинация этих уязвимостей делает Logseq крайне уязвимым приложением. Злоумышленник может скомпрометировать систему удалённо, если заставит пользователя открыть специально подготовленную заметку (содержащую XSS-вектор) или установить подставной плагин из магазина расширений. Учитывая, что версия 0.10.15 является последней стабильной, а патчей нет, все активные пользователи находятся в опасности. Особенно критично это для организаций, где Logseq используется для ведения проектной документации или хранения корпоративных данных.
Что делать специалистам по безопасности?
Пока нет официального обновления, единственным способом защиты остаётся отказ от использования Logseq до выхода патча. Если переход невозможен, следует как минимум отключить поддержку плагинов и ограничить выполнение JavaScript в приложении (например, через настройки CSP). Кроме того, стоит рассмотреть использование альтернативных инструментов с более строгой архитектурой безопасности, таких как Obsidian или Joplin, где аналогичные уязвимости закрыты раньше. Важно помнить, что любое приложение на базе Electron несёт риски из-за особенностей архитектуры, поэтому в критичных средах стоит минимизировать его использование.
Авторы исследований уже уведомили команду Logseq, однако сроки выпуска обновления пока не объявлены. Пользователям рекомендуется следить за репозиторием проекта и незамедлительно установить исправление, как только оно появится.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-9279
- https://www.cve.org/CVERecord?id=CVE-2026-47899
- https://www.cve.org/CVERecord?id=CVE-2026-47900
- https://www.cve.org/CVERecord?id=CVE-2026-47901
