Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Joplin (CVE-2025-24028)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/02/2025
Última modificación:
18/04/2025

Descripción

Joplin es una aplicación de código abierto y gratuita para tomar notas y realizar tareas pendientes, que puede gestionar una gran cantidad de notas organizadas en cuadernos. Esta vulnerabilidad se debe a diferencias entre la forma en que el depurador HTML de Joplin gestiona los comentarios y la forma en que el navegador los gestiona. Esto afecta tanto al editor de texto enriquecido como al visor de Markdown. Sin embargo, a diferencia del editor de texto enriquecido, el visor de Markdown está "aislado en todos los orígenes", lo que impide que JavaScript acceda directamente a funciones o variables en la "ventana" de nivel superior de Joplin. Este problema no está presente en Joplin 3.1.24 y puede haberse introducido en "9b50539". Se trata de una vulnerabilidad XSS que afecta a los usuarios que abren notas que no son de confianza en el editor de texto enriquecido. Esta vulnerabilidad se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:joplin_project:joplin:*:*:*:*:*:-:*:* 3.2.12 (excluyendo)