Vulnerabilidad en Joplin (CVE-2025-25187)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/02/2025
Última modificación:
10/02/2025
Descripción
Joplin es una aplicación de código abierto y gratuita para tomar notas y realizar tareas pendientes, que puede gestionar una gran cantidad de notas organizadas en cuadernos. Esta vulnerabilidad se produce al añadir títulos de notas al documento mediante `dangerouslySetInnerHTML` de React, sin escapar primero las entidades HTML. Joplin carece de una Content-Security-Policy con un `script-src` restrictivo. Esto permite la ejecución arbitraria de JavaScript a través de controladores de eventos `onclick`/`onload` en línea en HTML no saneado. Además, la ventana principal de Joplin se crea con `nodeIntegration` configurado en `true`, lo que permite la ejecución arbitraria de JavaScript para dar como resultado la ejecución de código arbitrario. Cualquiera que 1) reciba notas de fuentes desconocidas y 2) utilice ctrl-p para buscar se ve afectado. Este problema se ha solucionado en la versión 3.1.24 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src
- https://github.com/laurent22/joplin/blob/2fc9bd476b0d9abcddb0a46f615a48333779d225/packages/app-desktop/plugins/GotoAnything.tsx#L558
- https://github.com/laurent22/joplin/commit/360ece6f8873ef81afbfb98b25faad696ffccdb6
- https://github.com/laurent22/joplin/security/advisories/GHSA-9gfv-q6wj-fr3c
- https://github.com/laurent22/joplin/security/advisories/GHSA-9gfv-q6wj-fr3c