CVE-2026-34600 in joplin
要約
〜によって VulDB • 2026年05月20日
Joplinは、ノートとリストをノートブックに整理するオープンソースのノートおよびTODOアプリケーションです。バージョン3.5.2およびそれ以前のバージョンには、共有対象外のノートを受信者がダウンロードできるというデルタAPIの論理エラーが含まれています。この問題は以前の修正パッチ#14289に関連していますが、完全に修正されていません。ChangeModel.deltaにおいて、DELTA_INCLUDES_ITEMSが有効(デフォルト)の場合、リクエスト元のユーザーに対してまだ共有されているかどうかを確認せずに、アイテムの最新状態がデルタ出力に付加されます。また、既存の削除ロジックは、すべてのユーザーに対して削除されたアイテムのみをフィルタリングします。さらに、変更圧縮ロジックは、作成→削除をNOOP(何もしない)に誤って圧縮します。これは安全ではありません。なぜなら、圧縮はページ単位で適用され、アイテムには複数の作成イベントが存在する可能性があるためです。もし早期の作成イベントが、後続の作成→削除ペアとは異なるページに属している場合、削除がドロップされ、シーケンスは作成のみになります。その結果、デルタAPIは、削除されたアイテムに対する作成イベントを、最新の完全なコンテンツを付加して返すため、ユーザーがアクセス権を失ったノートを暴露してしまいます。この問題はバージョン3.5.3で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.