Retour à la liste

@joplin/onenote-converter: Path traversal in OneNote importer allows overwriting arbitrary files — CVE-2026-22810

GitHub · GitHub · CVE-2026-22810

ID
CVE-2026-22810
Date
Mis à jour
Activity
Source
GitHub
Fournisseur
GitHub
Risque
high
CVSS
8.2

Résumé

### Summary A path traversal vulnerability in the OneNote importer allows overwriting arbitrary files on disk. ### Details The OneNote converter does not sanitize the names of embedded files before writing them to disk. As a result, it's possible for an attacker to create a malicious `.one` file that includes file names containing `../../`, that are then interpreted as part of the target path when extracting…

Produit

npm: @joplin/onenote-converter

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21