Platform
other
Component
joplin
Opgelost in
3.0.16
CVE-2024-40643 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in Joplin, een open-source notitie-applicatie. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige scripts uit te voeren binnen de context van een andere gebruiker. De kwetsbaarheid treedt op door een onjuiste verwerking van HTML-tags, waardoor 'illegaal' HTML binnen tags kan worden geplaatst. De kwetsbaarheid beïnvloedt versies van Joplin tot en met 3.0.15. Een fix is beschikbaar in versie 3.0.15.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot verschillende schadelijke gevolgen. Een aanvaller kan kwaadaardige JavaScript-code injecteren in notities die door andere gebruikers worden bekeken. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar phishing-sites, of om de applicatie te manipuleren om acties uit te voeren namens de gebruiker. De impact kan variëren afhankelijk van de privileges van de gebruiker en de context waarin de applicatie wordt gebruikt. Het is vergelijkbaar met andere XSS-aanvallen waarbij de aanvaller controle krijgt over de gebruikersinterface van de applicatie.
Op het moment van publicatie (2024-09-09) is er geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt beschouwd als kritiek vanwege de hoge CVSS-score. De kans op exploitatie is momenteel als medium ingeschat, gezien de open-source aard van Joplin en de potentiële impact.
Users of Joplin who rely on the application to store sensitive information, particularly those using older versions (≤ 3.0.15). Individuals who share Joplin notes with others are also at increased risk, as malicious notes could be distributed and executed.
disclosure
Exploit Status
EPSS
0.56% (68% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-40643 is het upgraden naar Joplin versie 3.0.15 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de invoer van gebruikers in notities om de kans op injectie te verminderen. Hoewel dit geen volledige bescherming biedt, kan het de aanvalsoppervlakte verkleinen. Er zijn geen specifieke WAF-regels of configuratiewerkarounds bekend, aangezien de kwetsbaarheid inherent is aan de HTML-verwerking. Na de upgrade, controleer of de notities correct worden weergegeven en er geen onverwachte scripts worden uitgevoerd.
Werk Joplin bij naar versie 3.0.15 of hoger. Deze versie bevat een correctie voor de XSS-vulnerability. U kunt de nieuwste versie downloaden van de officiële Joplin website of via de pakketbeheerder van uw besturingssysteem.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-40643 is a critical XSS vulnerability in Joplin note-taking application, allowing attackers to inject malicious scripts. It affects versions up to 3.0.15.
Yes, if you are using Joplin version 3.0.15 or earlier, you are vulnerable to this XSS attack. Upgrade immediately.
Upgrade Joplin to version 3.0.15 or later to resolve the vulnerability. This update includes a fix for the improper HTML sanitization.
As of now, there is no confirmed evidence of active exploitation, but public POCs are likely to appear.
Refer to the Joplin security advisory on their official website or GitHub repository for detailed information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.