CVE-2025-57798 in joplin
요약
\~에 의해 VulDB • 2026. 05. 20.
Joplin은 노트와 목록을 노트북으로 정리하는 오픈 소스 메모장 및 할 일 목록 애플리케이션입니다. 버전 3.6.14 및 그 이전 버전에는 제목 입력 기능에 적절한 길이 검증 부재로 인해 서비스 거부(Denial of Service, DoS) 취약점이 존재합니다. 이 결함으로 인해 공격자는 메모의 제목에 지나치게 긴 문자열을 삽입하여 메모 부족(OOM) 오류를 유발하고 프로그램의 종료를 초래할 수 있습니다. 이는 직접적인 사용자 인터페이스(UI) 입력이나 인증 토큰이 침해된 후 로컬 웹 서비스 API를 통해 프로그래밍 방식으로 트리거될 수 있습니다. 주요 공격 방법은 두 가지입니다: 사용자 인터페이스(UI) 입력과 로컬 웹 서비스 API를 통한 방법입니다. 로컬 사용자는 Joplin에서 메모를 생성하거나 편집할 때 제목 필드에 직접 입력하거나 매우 긴 문자열을 붙여넣을 수 있습니다. Joplin은 HTTP API 호출을 통해 메모 생성 또는 편집과 같은 프로그래밍식 상호 작용을 허용하는 로컬 웹 서비스(일반적으로 포트 41184에서 실행)를 실행합니다. 공격자가 사용자의 인증 토큰을 탈취하거나 침해하는 데 성공하면(예: 로컬 시스템의 악성코드 또는 기타 로컬 취약점을 통해), 이 로컬 API로 조작된 HTTP POST 요청을 보낼 수 있습니다. 이 요청의 제목 매개변수에 지나치게 긴 문자열을 포함하면 애플리케이션은 무제한의 메모리를 할당하려고 시도합니다. 이 문제는 버전 3.7.1에서 패치되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.