HIGHCVE-2025-27409CVSS 7.5

Joplin Serverにおけるパス・トラバーサル脆弱性

Q: CVE-2025-27409 — パストラバーサル脆弱性 in Joplin Serverとは何ですか？

CVE-2025-27409は、Joplin Serverのバージョン3.3.3以前に存在するパストラバーサル脆弱性です。攻撃者は、特定のファイルパスを悪用して、意図しないディレクトリ内のファイルにアクセスできる可能性があります。

Q: CVE-2025-27409 in Joplin Serverの影響はありますか？

Joplin Serverのバージョン3.3.3以前を使用している場合は、影響を受ける可能性があります。攻撃者は、ファイルシステム内の機密情報にアクセスしたり、サーバー上で任意のコードを実行したりする可能性があります。

Q: CVE-2025-27409 in Joplin Serverを修正するにはどうすればよいですか？

Joplin Serverをバージョン3.3.3にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに利用できない場合は、WAFルールを実装するなど、一時的な対策を検討してください。

Q: CVE-2025-27409に関するJoplinの公式アドバイザリはどこで入手できますか？

Joplinの公式アドバイザリは、JoplinのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

nodejs

コンポーネント

joplin

修正版

3.3.4

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

Joplin Serverのバージョン3.3.3以前には、パストラバーサル脆弱性が存在します。この脆弱性は、攻撃者がcss/pluginAssetsまたはjs/pluginAssetsで始まる静的ファイルパスを悪用することで、意図しないディレクトリ内のファイルにアクセスすることを可能にします。影響を受けるバージョンは3.3.3以前です。バージョン3.3.3へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はJoplin Serverのファイルシステム内の機密情報にアクセスできる可能性があります。例えば、設定ファイル、データベースファイル、またはその他の重要なデータが漏洩する可能性があります。攻撃者は、この脆弱性を利用して、サーバー上で任意のコードを実行したり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、サーバーのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は2025年4月30日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Users running Joplin Server versions prior to 3.3.3, particularly those with publicly accessible instances or those hosting sensitive data, are at significant risk. Shared hosting environments where Joplin Server is installed could also be vulnerable, as the attacker might be able to exploit the vulnerability to access files belonging to other users on the same server.

検出手順翻訳中…

• nodejs / server:

grep -r 'pluginAssets' /var/log/joplin/server.log
grep -r 'css/pluginAssets' /var/log/joplin/server.log
grep -r 'js/pluginAssets' /var/log/joplin/server.log

• generic web:

curl -I 'http://your-joplin-server/css/pluginAssets/../../../../etc/passwd'

攻撃タイムライン

2025-04-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.61% (70% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjoplin

ベンダーlaurent22

影響範囲修正版

< 3.3.3 – < 3.3.33.3.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-02-24
公開日2025-04-30
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Joplin Serverをバージョン3.3.3にアップデートすることです。アップデートがすぐに利用できない場合は、css/pluginAssetsまたはjs/pluginAssetsで始まるファイルパスへのアクセスを制限するWAFルールを実装することを検討してください。また、ファイルシステムのアクセス権を適切に設定し、不要なファイルへのアクセスを制限することも有効です。アップデート後、ファイルシステムの整合性を確認し、不正なファイルアクセスがないことを確認してください。

修正方法翻訳中…

Actualice Joplin Server a la versión 3.3.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-27409 — パストラバーサル脆弱性 in Joplin Serverとは何ですか？