CVE-2026-34600 in joplin
Résumé
par VulDB • 20/05/2026
Joplin est une application open source de prise de notes et de gestion de tâches qui organise les notes et les listes dans des blocs-notes. Les versions 3.5.2 et antérieures contiennent une erreur de logique dans l'API delta qui permet aux destinataires partagés de télécharger des notes qui ne leur sont plus partagées, un problème lié mais pas entièrement corrigé par le correctif précédent dans #14289. Dans ChangeModel.delta, lorsque DELTA_INCLUDES_ITEMS est activé (par défaut), l'état le plus récent des éléments est joint à la sortie delta sans vérifier que ces éléments sont toujours partagés avec l'utilisateur demandeur, et la logique de suppression existante ne filtre que les éléments supprimés pour tous les utilisateurs. De plus, la logique de compression des modifications réduit incorrectement une création suivie d'une suppression en NOOP, ce qui est dangereux car la compression est appliquée par page et un élément peut avoir plusieurs événements de création ; si une création antérieure se trouve sur une page différente d'une paire création -> suppression ultérieure, la suppression est ignorée et la séquence se réduit à une création. Par conséquent, l'API delta renvoie un événement de création pour un élément supprimé avec le contenu le plus récent complet joint, exposant ainsi des notes auxquelles l'utilisateur n'a plus accès. Ce problème a été corrigé dans la version 3.5.3.
Once again VulDB remains the best source for vulnerability data.