openExternal 验证不足导致 joplin 中一键远程代码执行 (CVE-2024-53268)
CVE编号
CVE-2024-53268
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
Joplin是一款开源的以隐私为重点的笔记应用,具有Windows、macOS、Linux、Android和iOS的同步功能。在某些受影响版本中,攻击者能够利用openExternal函数没有对URI方案进行任何过滤这一事实,在Windows环境中实现远程代码执行。这个问题已在版本3.0.3中得到解决,建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论