CVE-2026-34600 in joplinالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Joplin هو تطبيق مفتوح المصدر للملاحظات وقوائم المهام ينظم الملاحظات والقوائم في دفاتر ملاحظات. تحتوي الإصدارات 3.5.2 والإصدارات الأقدم على خطأ في المنطق (logic error) في واجهة برمجة التطبيقات (API) الخاصة بالفرق (delta API)، مما يسمح لمستلمي المشاركة بتنزيل الملاحظات التي لم تعد مشتركة معهم. يرتبط هذا الأمر بترقيع سابق في #14289 لكنه لم يتم إصلاحه بالكامل من خلاله. في دالة ChangeModel.delta، عندما يكون DELTA_INCLUDES_ITEMS مفعّلاً (وهو الإعداد الافتراضي)، يتم إرفاق أحدث حالة للعناصر بإخراج الـ delta دون التحقق من أن هذه العناصر لا تزال مشتركة مع المستخدم الذي أرسل الطلب، ولا تقوم منطق الحذف الحالي إلا بتصفية العناصر المحذوفة لجميع المستخدمين. بالإضافة إلى ذلك، يقوم منطق ضغط التغييرات بتقليل عملية "إنشاء-حذف" إلى عملية لا تفعل شيئاً (NOOP) بشكل غير صحيح، وهو أمر غير آمن لأن الضغط يُطبق على مستوى الصفحة، ويمكن أن يكون للعنصر عدة أحداث إنشاء؛ إذا وقع حدث إنشاء سابق على صفحة منفصلة عن زوج "إنشاء-حذف" لاحق، يتم إسقاط الحذف ويتسلسل الأمر ليصبح مجرد إنشاء. ونتيجة لذلك، تُرجع واجهة برمجة التطبيقات delta حدث إنشاء لعنصر محذوف مع إرفاق أحدث محتوياته بالكامل، مما يعرض الملاحظات التي لم يعد للمستخدم حق الوصول إليها. تم إصلاح هذه المشكلة في الإصدار 3.5.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364756

CPE

جاهز

CWE

CWE-281 (مؤكد)

CVSS

5.7 (CNA)

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34600
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34600
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34600/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!