Plataforma
nodejs
Componente
joplin
Corregido en
3.3.4
La vulnerabilidad CVE-2025-27409 es un fallo de recorrido de ruta (Path Traversal) descubierto en Joplin Server, un servidor para la aplicación de toma de notas Joplin. Este fallo permite a atacantes acceder a archivos sensibles fuera de los directorios designados, comprometiendo la confidencialidad de los datos almacenados. Afecta a versiones de Joplin Server anteriores o iguales a la 3.3.3. La vulnerabilidad ha sido solucionada en la versión 3.3.3.
Un atacante puede explotar esta vulnerabilidad para leer archivos arbitrarios en el sistema de archivos del servidor Joplin. Esto incluye archivos de configuración, bases de datos, o incluso código fuente. El impacto potencial es la exposición de información confidencial, como contraseñas, claves API, y datos personales de los usuarios. La explotación exitosa podría permitir a un atacante obtener control sobre el servidor, especialmente si los archivos leídos contienen credenciales o información de configuración sensible. Este tipo de vulnerabilidad, al permitir el acceso a archivos fuera de la ruta esperada, es similar a otros ataques de recorrido de ruta que han comprometido la seguridad de diversas aplicaciones web.
La vulnerabilidad fue publicada el 30 de abril de 2025. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. No se han reportado públicamente pruebas de concepto (PoC) para esta vulnerabilidad, lo que sugiere un riesgo de explotación relativamente bajo en este momento. Se recomienda monitorear activamente la situación y estar atento a posibles actualizaciones.
Users running Joplin Server versions prior to 3.3.3, particularly those with publicly accessible instances or those hosting sensitive data, are at significant risk. Shared hosting environments where Joplin Server is installed could also be vulnerable, as the attacker might be able to exploit the vulnerability to access files belonging to other users on the same server.
• nodejs / server:
grep -r 'pluginAssets' /var/log/joplin/server.log
grep -r 'css/pluginAssets' /var/log/joplin/server.log
grep -r 'js/pluginAssets' /var/log/joplin/server.log• generic web:
curl -I 'http://your-joplin-server/css/pluginAssets/../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.61% (70% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-27409 es actualizar Joplin Server a la versión 3.3.3 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el servidor para limitar el acceso a los archivos sensibles. Esto puede incluir la configuración de permisos de archivo restrictivos y la implementación de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos de acceso a archivos. No existen firmas Sigma o YARA específicas disponibles actualmente, pero se recomienda monitorear el tráfico de red en busca de solicitudes con rutas de archivo inusuales.
Actualice Joplin Server a la versión 3.3.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-27409 is a Path Traversal vulnerability affecting Joplin Server versions up to 3.3.3, allowing attackers to read files outside intended directories.
Yes, if you are running Joplin Server version 3.3.3 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade Joplin Server to version 3.3.3 or later to patch this vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature suggests it could be targeted.
Please refer to the official Joplin security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.