प्लेटफ़ॉर्म
nodejs
घटक
joplin
में ठीक किया गया
3.3.4
Joplin Server में एक पथ पारगमन (Path Traversal) भेद्यता पाई गई है, जो संस्करण 3.3.3 से पहले के संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को Joplin Server के भीतर अनधिकृत फ़ाइलों तक पहुँचने और उन्हें पढ़ने की अनुमति देती है। प्रभावित संस्करण 3.3.3 या उससे पहले के हैं। इस समस्या को Joplin Server संस्करण 3.3.3 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Joplin Server के फ़ाइल सिस्टम में मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है। यदि हमलावर सफलतापूर्वक फ़ाइलों को पढ़ सकता है, तो वे संवेदनशील जानकारी, जैसे उपयोगकर्ता डेटा, कॉन्फ़िगरेशन फ़ाइलें, या अन्य गोपनीय डेटा तक पहुँच सकते हैं। यह डेटा चोरी, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। विशेष रूप से, css/pluginAssets या js/pluginAssets से शुरू होने वाले स्थिर फ़ाइल पथों पर ध्यान दें, क्योंकि ये पथ पारगमन के लिए सबसे अधिक संवेदनशील हैं।
यह भेद्यता 2025-04-30 को सार्वजनिक रूप से उजागर की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, जल्द ही PoC जारी होने की संभावना है।
Users running Joplin Server versions prior to 3.3.3, particularly those with publicly accessible instances or those hosting sensitive data, are at significant risk. Shared hosting environments where Joplin Server is installed could also be vulnerable, as the attacker might be able to exploit the vulnerability to access files belonging to other users on the same server.
• nodejs / server:
grep -r 'pluginAssets' /var/log/joplin/server.log
grep -r 'css/pluginAssets' /var/log/joplin/server.log
grep -r 'js/pluginAssets' /var/log/joplin/server.log• generic web:
curl -I 'http://your-joplin-server/css/pluginAssets/../../../../etc/passwd'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.61% (70% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Joplin Server को तुरंत संस्करण 3.3.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि Joplin Server प्रक्रिया केवल उन फ़ाइलों तक पहुँच सके जिनकी उसे आवश्यकता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक करने पर भी विचार करें। WAF नियमों को css/pluginAssets और js/pluginAssets से शुरू होने वाले अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए।
Actualice Joplin Server a la versión 3.3.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-27409 Joplin Server में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों को पढ़ने की अनुमति देती है। यह संस्करण 3.3.3 से पहले के संस्करणों को प्रभावित करता है।
यदि आप Joplin Server के संस्करण 3.3.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Joplin Server को संस्करण 3.3.3 में अपडेट करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।
Joplin की आधिकारिक वेबसाइट या उनके GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।