CVE-2025-57798 in joplin
Сводка
по VulDB • 19.05.2026
Joplin — это приложение для заметок и списков задач с открытым исходным кодом, которое организует заметки и списки по блокнотам. Версии 3.6.14 и более ранние содержат уязвимость отказа в обслуживании (DoS) в функциональности ввода заголовка из-за отсутствия надлежащей проверки длины. Эта ошибка позволяет злоумышленнику вызвать ошибку Out Of Memory (OOM) и последующее завершение работы программы путем вставки чрезмерно длинной строки в заголовок заметки. Это может быть инициировано либо через прямой ввод в пользовательском интерфейсе (UI), либо программно через локальный веб-сервис API после компрометации токена аутентификации. Существует два основных метода эксплуатации: через ввод в пользовательском интерфейсе (UI) и через локальный веб-сервис API. Локальный пользователь может напрямую ввести или вставить чрезвычайно длинную строку в поле заголовка при создании или редактировании заметки. Joplin запускает локальный веб-сервис (обычно на порту 41184), который позволяет программное взаимодействие, такое как создание или редактирование заметок через вызовы HTTP API. Если злоумышленнику удастся эксфильтровать или скомпрометировать токен аутентификации пользователя (например, через вредоносное ПО на локальной системе или другие локальные уязвимости), он может отправить специально сформированный HTTP POST-запрос к этому локальному API. Включив чрезмерно длинную строку в параметр заголовка этого запроса, приложение попытается выделить неограниченное количество памяти. Эта проблема была исправлена в версии 3.7.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.