Plateforme
other
Composant
joplin
Corrigé dans
3.0.16
La vulnérabilité CVE-2024-40643 affecte l'application de prise de notes open source Joplin. Elle se manifeste par une faille de Cross-Site Scripting (XSS) due à une gestion incorrecte des caractères spéciaux dans les balises HTML. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant, compromettant potentiellement les données des utilisateurs. Les versions de Joplin antérieures ou égales à 3.0.15 sont concernées. Une version corrigée (3.0.15) est désormais disponible.
L'impact de cette vulnérabilité XSS est significatif. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut permettre le vol de cookies de session, le détournement de l'utilisateur vers des sites web malveillants, la modification du contenu affiché dans Joplin, ou même l'installation de logiciels malveillants. La surface d'attaque est large, car toute personne utilisant une version vulnérable de Joplin est potentiellement exposée. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification, affectant ainsi tous les utilisateurs de l'application.
La vulnérabilité CVE-2024-40643 a été publiquement divulguée le 9 septembre 2024. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, étant donné la simplicité de l'exploitation et la popularité de Joplin. Des preuves d'exploitation active n'ont pas été signalées publiquement, mais la disponibilité d'une preuve de concept (PoC) est probable et pourrait rapidement conduire à des attaques ciblées.
Users of Joplin who rely on the application to store sensitive information, particularly those using older versions (≤ 3.0.15). Individuals who share Joplin notes with others are also at increased risk, as malicious notes could be distributed and executed.
disclosure
Statut de l'Exploit
EPSS
0.56% (percentile 68%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Joplin vers la version 3.0.15 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'exposition de la vulnérabilité. En attendant la mise à jour, il n'existe pas de contournement direct pour bloquer l'injection XSS. Une approche palliative pourrait consister à désactiver temporairement JavaScript dans le navigateur lors de l'utilisation de Joplin, mais cela affectera la fonctionnalité de l'application. Surveillez les forums de Joplin et les listes de diffusion pour d'éventuelles mises à jour de sécurité supplémentaires.
Mettez à jour Joplin à la version 3.0.15 ou supérieure. Cette version contient une correction pour la vulnérabilité XSS. Vous pouvez télécharger la dernière version depuis le site web officiel de Joplin ou via le gestionnaire de paquets de votre système d'exploitation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-40643 is a critical XSS vulnerability in Joplin note-taking application, allowing attackers to inject malicious scripts. It affects versions up to 3.0.15.
Yes, if you are using Joplin version 3.0.15 or earlier, you are vulnerable to this XSS attack. Upgrade immediately.
Upgrade Joplin to version 3.0.15 or later to resolve the vulnerability. This update includes a fix for the improper HTML sanitization.
As of now, there is no confirmed evidence of active exploitation, but public POCs are likely to appear.
Refer to the Joplin security advisory on their official website or GitHub repository for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.