CVE-2026-22810

Nome do Software Vulnerável e Versões Afetadas Joplin versões anteriores a 3.5.7

Descrição Um problema de path traversal existe no importador do OneNote. O conversor do OneNote não sanitiza os nomes de arquivos incorporados antes de gravá-los no disco. Um invasor pode criar um arquivo .one malicioso contendo nomes de arquivos com sequências ../../, que são interpretadas como parte do caminho de destino durante a extração de anexos. Isso permite a sobrescrita de arquivos arbitrários no disco, o que pode potencialmente levar à execução remota de código. A função determine filename() em embedded file.rs está especificamente envolvida, pois transmite o nome do arquivo fornecido sem validação.

Recomendações Atualize para a versão 3.5.7.