मुफ्त स्कैन करें
HIGHCVE-2025-27409CVSS 7.5

Joplin Server में पाथ ट्रावर्सल भेद्यता

प्लेटफ़ॉर्म

nodejs

घटक

joplin

में ठीक किया गया

3.3.4

AI Confidence: highNVDEPSS 0.6%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Joplin Server में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है, जो संस्करण 3.3.3 से पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को Joplin Server के भीतर अनधिकृत फ़ाइलों तक पहुँचने और उन्हें पढ़ने की अनुमति देती है। प्रभावित संस्करण 3.3.3 या उससे पहले के हैं। इस समस्या को Joplin Server संस्करण 3.3.3 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को Joplin Server के फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यदि हमलावर सफलतापूर्वक फ़ाइलों को पढ़ सकता है, तो वे संवेदनशील जानकारी, जैसे उपयोगकर्ता डेटा, कॉन्फ़िगरेशन फ़ाइलें, या अन्य गोपनीय डेटा तक पहुँच सकते हैं। यह डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। विशेष रूप से, css/pluginAssets या js/pluginAssets से शुरू होने वाले स्थिर फ़ाइल पथों पर ध्यान दें, क्योंकि ये पथ पारगमन के लिए सबसे अधिक संवेदनशील हैं।

शोषण संदर्भ

यह भेद्यता 2025-04-30 को सार्वजनिक रूप से उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, जल्द ही PoC जारी होने की संभावना है।

कौन जोखिम में हैअनुवाद हो रहा है…

Users running Joplin Server versions prior to 3.3.3, particularly those with publicly accessible instances or those hosting sensitive data, are at significant risk. Shared hosting environments where Joplin Server is installed could also be vulnerable, as the attacker might be able to exploit the vulnerability to access files belonging to other users on the same server.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

grep -r 'pluginAssets' /var/log/joplin/server.log
grep -r 'css/pluginAssets' /var/log/joplin/server.log
grep -r 'js/pluginAssets' /var/log/joplin/server.log

• generic web:

curl -I 'http://your-joplin-server/css/pluginAssets/../../../../etc/passwd'

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.61% (70% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकjoplin
विक्रेताlaurent22
प्रभावित श्रेणीमें ठीक किया गया
< 3.3.3 – < 3.3.33.3.4

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Joplin Server को तुरंत संस्करण 3.3.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि Joplin Server प्रक्रिया केवल उन फ़ाइलों तक पहुँच सके जिनकी उसे आवश्यकता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने पर भी विचार करें। WAF नियमों को css/pluginAssets और js/pluginAssets से शुरू होने वाले अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Joplin Server a la versión 3.3.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-27409 — पथ पारगमन (Path Traversal) Joplin Server में क्या है?

CVE-2025-27409 Joplin Server में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को पढ़ने की अनुमति देती है। यह संस्करण 3.3.3 से पहले के संस्करणों को प्रभावित करता है।

क्या मैं CVE-2025-27409 में Joplin Server से प्रभावित हूँ?

यदि आप Joplin Server के संस्करण 3.3.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-27409 में Joplin Server को कैसे ठीक करूँ?

Joplin Server को संस्करण 3.3.3 में अपडेट करें।

क्या CVE-2025-27409 सक्रिय रूप से शोषण किया जा रहा है?

अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।

मैं CVE-2025-27409 के लिए आधिकारिक Joplin advisory कहां पा सकता हूं?

Joplin की आधिकारिक वेबसाइट या उनके GitHub रिपॉजिटरी पर जाएँ।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें