关键信息 漏洞名称: Joplin 2.8.8 - 远程命令执行 CVE ID: CVE-2022-40277 严重性: 7.7 (高) 发现者: Carlos Bello, Offensive Team, Fluid Attacks 发现日期: 2022年9月7日 披露日期: 2022年9月26日 受影响产品: Joplin 受影响版本: 2.8.8 漏洞描述 Joplin 2.8.8 版本存在远程命令执行漏洞,攻击者可以利用恶意的 markdown 文件中的链接在任何打开该文件的客户端上远程执行任意命令。这是由于应用未正确验证 markdown 文件中现有链接的模式/协议,便将其传递给 shell.openExternal 函数造成的。 利用条件 要实现远程命令执行,攻击者需要利用某些特定的模式/协议。这些模式/协议在不同操作系统上表现不一。例如在 Xubuntu 20.04 (Xfce) 上,攻击者可通过 payload.desktop 文件在远程位置挂载后自动执行,其他 Linux 发行版则默认不会执行这些文件。 利用方法 要利用此漏洞,需发送以下文件给受害者,使其用 Joplin 打开: exploit.md: payload.desktop 文件中的 参数可以包含攻击者希望执行的命令。 漏洞证据 已展示了攻击者成功利用漏洞执行命令的证据图片。 缓解措施 目前尚无可用补丁修复此漏洞。 时间线 2022年9月7日: 漏洞发现 2022年9月8日: 通知供应商 2022年9月26日: 公开披露 系统信息 Joplin 版本: 2.8.8 操作系统: GNU/Linux - Xubuntu 20.04 (Xfce)