Joplin <= 2.8.8 存在XSS漏洞

时间:2022-11-20 08:06:53

漏洞描述

Joplin是一个免费的开源笔记和待办事项应用程序。

在Joplin 受影响版本的 packages/renderer/MdToHtml.ts渲染器未对接收的参数lang进行转义,导致XSS漏洞产生,攻击者可利用此漏洞造成窃取受害者的会话令牌或登录凭据等危害。

漏洞名称 Joplin <= 2.8.8 存在XSS漏洞
漏洞类型 XSS
发现时间 2022-11-16
漏洞影响广度 广
MPS编号 MPS-2022-64614
CVE编号 -
CNVD编号 -

影响范围

Joplin@[0.10.0, 2.8.8]

修复方案

官方已发布漏洞补丁,参考链接:https://github.com/laurent22/joplin/commit/a2de167b95debad83a0f0c7925a88c0198db812e#

参考链接

https://www.oscs1024.com/hd/MPS-2022-64614

https://github.com/laurent22/joplin/commit/a2de167b95debad83a0f0c7925a88c0198db812e#

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

Joplin <= 2.8.8 存在XSS漏洞