@joplin/onenote-converter: Path traversal in OneNote importer allows overwriting arbitrary files — CVE-2026-22810
GitHub · GitHub · CVE-2026-22810
ID
CVE-2026-22810
CVE-2026-22810
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
8.2
8.2
Zusammenfassung
### Summary A path traversal vulnerability in the OneNote importer allows overwriting arbitrary files on disk. ### Details The OneNote converter does not sanitize the names of embedded files before writing them to disk. As a result, it's possible for an attacker to create a malicious `.one` file that includes file names containing `../../`, that are then interpreted as part of the target path when extracting…
Produkt
npm: @joplin/onenote-converter
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.