CVE-2023-37898 in joplininformazioni

Riassunto

di VulDB • 15/06/2026

Joplin è un'applicazione gratuita e open source per la gestione di note e attività. Una vulnerabilità Cross-site Scripting (XSS) consente a una nota non attendibile, aperta in modalità sicura, di eseguire codice arbitrario. `packages/renderer/MarkupToHtml.ts` renderizza il contenuto della nota in modalità sicura racchiudendolo tra tag `<iframe>` e `</iframe>`, senza effettuare l'escaping di eventuali tag HTML interni. Di conseguenza, un attaccante può creare una nota che chiude il tag di apertura `<iframe>`, includendo quindi HTML contenente JavaScript. Poiché l'iframe markdown renderizzato ha lo stesso origin del documento di livello superiore e non è sandboxato, gli script eseguiti nell'iframe di anteprima possono accedere alla variabile `top` e, quindi, alla funzione `require` di NodeJS di livello superiore. `require` può quindi essere utilizzato per importare moduli come `fs` o `child_process` ed eseguire comandi arbitrari. Questo problema è stato risolto nella versione 2.12.9 e si consiglia a tutti gli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub, Inc.

Prenotare

10/07/2023

Divulgazione

21/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00426

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!