一、 漏洞 CVE-2025-25187 基础信息
漏洞信息
                                        # Goto Anything中的跨站脚本允许在Joplin中执行任意代码

## 概述
Joplin是一款开源的笔记和待办事项应用程序。由于使用React的`dangerouslySetInnerHTML`添加未转义的HTML实体作为笔记标题,并且缺乏严格的`Content-Security-Policy`,存在任意JavaScript执行漏洞。此外,主窗口启用`nodeIntegration`,导致任意代码执行的风险。

## 影响版本
- 所有版本至3.1.23

## 细节
此漏洞通过在未处理的HTML中使用`onclick`或`onload`事件处理程序触发,使得攻击者能够注入并执行恶意JavaScript代码。由于主窗口的`nodeIntegration`设置为`true`,这进一步导致任意代码执行的可能性。任何接收来自未知源的笔记并使用<kbd>ctrl</kbd>-<kbd>p</kbd>搜索功能的用户都受到影响。

## 影响
- 接收来自未知源笔记的用户易受攻击,可能导致任意代码执行。
- 该问题已在3.1.24版本中修复,所有用户应尽快升级。
- 目前没有已知的缓解措施。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cross-site Scripting in Goto Anything allows arbitrary code execution in Joplin
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Joplin is a free, open source note taking and to-do application, which can handle a large number of notes organised into notebooks. This vulnerability is caused by adding note titles to the document using React's `dangerouslySetInnerHTML`, without first escaping HTML entities. Joplin lacks a Content-Security-Policy with a restrictive `script-src`. This allows arbitrary JavaScript execution via inline `onclick`/`onload` event handlers in unsanitized HTML. Additionally, Joplin's main window is created with `nodeIntegration` set to `true`, allowing arbitrary JavaScript execution to result in arbitrary code execution. Anyone who 1) receives notes from unknown sources and 2) uses <kbd>ctrl</kbd>-<kbd>p</kbd> to search is impacted. This issue has been addressed in version 3.1.24 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Joplin 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Joplin是Laurent Cozic个人开发者的一款开源的笔记和待办事项应用程序。 Joplin存在跨站脚本漏洞,该漏洞源于添加笔记标题时未转义HTML实体,并且缺少严格的Content-Security-Policy,导致可执行任意JavaScript和代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-25187 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-25187 的情报信息

  • 标题: XSS in Goto Anything allows arbitrary code execution · Advisory · laurent22/joplin · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    XSS in Goto Anything allows arbitrary code execution · Advisory · laurent22/joplin · GitHub

  • 标题: Desktop: Fix title rendering in GotoAnything search results (#11356) · laurent22/joplin@360ece6 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    Desktop: Fix title rendering in GotoAnything search results (#11356) · laurent22/joplin@360ece6 · GitHub

  • 标题: CSP: script-src - HTTP | MDN -- 🔗来源链接

    标签: x_refsource_MISC

    CSP: script-src - HTTP | MDN

  • 标题: joplin/packages/app-desktop/plugins/GotoAnything.tsx at 2fc9bd476b0d9abcddb0a46f615a48333779d225 · laurent22/joplin · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    joplin/packages/app-desktop/plugins/GotoAnything.tsx at 2fc9bd476b0d9abcddb0a46f615a48333779d225 · laurent22/joplin · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-25187
四、漏洞 CVE-2025-25187 的评论

暂无评论

发表评论