Platform
nodejs
Component
joplin
Opgelost in
3.3.4
CVE-2025-27409 beschrijft een Path Traversal kwetsbaarheid in Joplin Server. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerd bestanden buiten de beoogde directories te lezen. De kwetsbaarheid treedt op in versies van Joplin Server die kleiner of gelijk zijn aan 3.3.3. Een upgrade naar versie 3.3.3 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop Joplin Server draait. Aanvallers kunnen potentieel configuratiebestanden, broncode of andere gevoelige gegevens in handen krijgen. De impact is aanzienlijk, omdat de aanvallers de mogelijkheid hebben om de integriteit van de server te compromitteren en mogelijk toegang te krijgen tot de opgeslagen notities van gebruikers. Dit is vergelijkbaar met kwetsbaarheden waarbij ongeautoriseerde toegang tot bestanden mogelijk is, wat de vertrouwelijkheid van de gegevens in gevaar brengt.
De kwetsbaarheid is openbaar bekend gemaakt op 30 april 2025. Er is geen informatie beschikbaar over actieve exploits of campagnes. Er zijn momenteel geen publieke Proof-of-Concept (POC) exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's zullen verschijnen. De ernst van de kwetsbaarheid is hoog, wat wijst op een potentieel risico voor systemen die kwetsbaar zijn.
Users running Joplin Server versions prior to 3.3.3, particularly those with publicly accessible instances or those hosting sensitive data, are at significant risk. Shared hosting environments where Joplin Server is installed could also be vulnerable, as the attacker might be able to exploit the vulnerability to access files belonging to other users on the same server.
• nodejs / server:
grep -r 'pluginAssets' /var/log/joplin/server.log
grep -r 'css/pluginAssets' /var/log/joplin/server.log
grep -r 'js/pluginAssets' /var/log/joplin/server.log• generic web:
curl -I 'http://your-joplin-server/css/pluginAssets/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.61% (70% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-27409 is het upgraden van Joplin Server naar versie 3.3.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om verzoeken te filteren die potentieel schadelijke paden bevatten. Configureer de WAF om verzoeken te blokkeren die css/pluginAssets of js/pluginAssets in de URL bevatten. Het is ook raadzaam om de permissies van de bestanden en directories op de server te controleren en te beperken om de potentiële impact van een succesvolle exploitatie te minimaliseren. Na de upgrade, controleer de serverlogs op verdachte activiteiten.
Actualice Joplin Server a la versión 3.3.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-27409 is a Path Traversal vulnerability affecting Joplin Server versions up to 3.3.3, allowing attackers to read files outside intended directories.
Yes, if you are running Joplin Server version 3.3.3 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade Joplin Server to version 3.3.3 or later to patch this vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no confirmed evidence of active exploitation, but the vulnerability's nature suggests it could be targeted.
Please refer to the official Joplin security advisories on their website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.