漏洞描述 Joplin是Laurent Cozic个人开发者的一款开源的笔记和待办事项应用程序。 Joplin存在跨站脚本漏洞,该漏洞源于添加笔记标题时未转义HTML实体,并且缺少严格的Content-Security-Policy,导致可执行任意JavaScript和代码。
相关漏洞推荐 JoplinServer存在默认口令 POC CVE-2025-27134: Joplin 3.3.3 Server - Privilege Escalation POC joplin-default-login: Joplin - Default Login JoplinServer 权限提升漏洞(CVE-2025-27134) Joplin MdToHtml 跨站脚本漏洞