Vulnerabilidad en Joplin (CVE-2025-25187)

Joplin es una aplicación de código abierto y gratuita para tomar notas y realizar tareas pendientes, que puede gestionar una gran cantidad de notas organizadas en cuadernos. Esta vulnerabilidad se produce al añadir títulos de notas al documento mediante `dangerouslySetInnerHTML` de React, sin escapar primero las entidades HTML. Joplin carece de una Content-Security-Policy con un `script-src` restrictivo. Esto permite la ejecución arbitraria de JavaScript a través de controladores de eventos `onclick`/`onload` en línea en HTML no saneado. Además, la ventana principal de Joplin se crea con `nodeIntegration` configurado en `true`, lo que permite la ejecución arbitraria de JavaScript para dar como resultado la ejecución de código arbitrario. Cualquiera que 1) reciba notas de fuentes desconocidas y 2) utilice ctrl-p para buscar se ve afectado. Este problema se ha solucionado en la versión 3.1.24 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.