CVE-2025-57798 in joplin
要約
〜によって VulDB • 2026年05月19日
Joplinは、ノートとリストをノートブックに整理するオープンソースのノートおよびTODOアプリケーションです。バージョン3.6.14およびそれ以前のバージョンには、タイトル入力機能における適切な長さの検証欠如に起因するサービス妨害(DoS)脆弱性が存在します。この欠陥により、攻撃者はノートのタイトルに過度に長い文字列を挿入することで、メモリ不足(OOM)エラーを引き起こし、その後のプログラム終了を招くことができます。これは、直接ユーザーインターフェース(UI)から入力するか、認証トークンを侵害した後にローカルWebサービスAPIを介してプログラム的にトリガーすることができます。攻撃には主に2つの方法があります。1つはユーザーインターフェース(UI)からの入力、もう1つはローカルWebサービスAPIの利用です。ローカルユーザーは、Joplinでノートを作成または編集する際に、タイトルフィールドに直接非常に長い文字列を入力または貼り付けることができます。JoplinはローカルWebサービス(通常はポート41184)を実行しており、HTTP API呼び出しを介したノートの作成や編集などのプログラムによる対話を可能にします。攻撃者がユーザーの認証トークンを窃取または侵害することに成功した場合(例えば、ローカルシステム上のマルウェアやその他のローカル脆弱性を通じて)、このローカルAPIに対して作成されたHTTP POSTリクエストを送信することができます。このリクエストのタイトルパラメータに過度に長い文字列を含めることで、アプリケーションは制限のない量のメモリを割り当てようとします。この問題はバージョン3.7.1で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.