Joplin: path traversal pozwala nadpisać pliki

Luka o powadze 8.2 w skali CVSS została zidentyfikowana w popularnej, otwartoźródłowej aplikacji do notatek Joplin ¹. Problem, oznaczony jako CVE (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki) CVE-2026-22810, dotyczy wszystkich wersji programu wcześniejszych niż 3.5.7 ². Pomyślne wykorzystanie luki pozwala na nadpisanie dowolnych plików na dysku komputera ofiary ³, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu ⁴.

TL;DR

• Produkt: Aplikacja do notatek Joplin, wersje wcześniejsze niż 3.5.7 ².
• Wektor: Import złośliwie spreparowanego pliku .one (format notatek Microsoft OneNote) ⁵.
• Zagrożenie: CVE-2026-22810, Path Traversal (CWE-24) ⁶. Umożliwia atakującemu nadpisanie dowolnego pliku na dysku z uprawnieniami użytkownika uruchamiającego Joplin ⁷.
• Wskaźniki kompromitacji: Brak typowych wskaźników (adresów IP, domen). Zagrożeniem jest sam plik .one pochodzący z niezaufanego źródła.
• Kogo dotyczy: Użytkownicy Joplin, w tym w polskich firmach i administracji, którzy korzystają z funkcji importu notatek z OneNote.
• Pierwszy ruch: Natychmiastowa aktualizacja aplikacji Joplin do wersji 3.5.7 lub nowszej ⁸.

Wektor ataku

Podatność leży w mechanizmie importu notatek z formatu .one, używanego przez Microsoft OneNote. Luka jest klasyfikowana jako Path Traversal, znana również jako Directory Traversal, oznaczona w standardzie jako CWE (Common Weakness Enumeration — klasyfikacja typów luk) CWE-24 ⁶. Polega ona na możliwości wyjścia z docelowego folderu zapisu plików i umieszczenia ich w dowolnym miejscu na dysku.

Konwerter OneNote wbudowany w Joplin nie oczyszczał w odpowiedni sposób nazw plików osadzonych w importowanej notatce ⁹. Atakujący może przygotować specjalny plik .one, w którym jeden z załączników ma spreparowaną nazwę, zawierającą sekwencję ../ ⁵. Ta sekwencja w systemach operacyjnych oznacza „przejdź do katalogu nadrzędnego”.

Gdy użytkownik importuje taki złośliwy plik, Joplin próbuje wypakować załącznik. Sekwencja ../../ w nazwie pliku jest interpretowana jako część ścieżki docelowej ¹⁰. W rezultacie, zamiast zapisać plik w folderze z zasobami notatki, aplikacja zapisuje go w lokalizacji wskazanej przez atakującego, potencjalnie nadpisując istniejące, kluczowe pliki systemowe lub konfiguracyjne.

Przykładowo, spreparowana nazwa pliku ../../.bashrc na systemie Linux mogłaby nadpisać plik konfiguracyjny powłoki użytkownika, prowadząc do wykonania dowolnego kodu przy następnym uruchomieniu terminala. Scenariusz wymaga interakcji użytkownika, który musi świadomie zaimportować złośliwy plik .one.

Wskaźniki kompromitacji

Ten typ ataku nie generuje typowych wskaźników kompromitacji (IoC – Indicators of Compromise), takich jak adresy IP serwerów C2 (Command and Control) czy hashe plików wykonywalnych. Jedynym wskaźnikiem jest posiadanie i zaimportowanie złośliwego pliku .one z niezaufanego źródła.

Zalecamy zachowanie szczególnej ostrożności wobec wszelkich plików .one otrzymanych pocztą elektroniczną lub pobranych z niepewnych stron. Nie ma publicznie dostępnych reguł YARA czy Sigma do wykrywania tego konkretnego wektora w plikach .one.

Co zrobić w 24-48h

Rekomendowane podejście do łagodzenia tego zagrożenia jest proste i powinno być potraktowane priorytetowo.

1. Natychmiastowa aktualizacja. Należy bezzwłocznie zaktualizować aplikację Joplin do wersji 3.5.7 lub nowszej ⁸. W tej wersji problem został w pełni załatany. W środowiskach korporacyjnych, gdzie oprogramowanie jest zarządzane centralnie, należy upewnić się, że nowa wersja została dopuszczona i wdrożona na wszystkich stacjach roboczych.

2. Weryfikacja źródeł importu. Do czasu wdrożenia aktualizacji należy bezwzględnie unikać importowania plików .one z nieznanych lub niezaufanych źródeł. Dotyczy to zarówno małych firm, freelancerów, jak i dużych organizacji w Polsce, które mogły przyjąć Joplin jako narzędzie do zarządzania wiedzą.

3. Przegląd polityk bezpieczeństwa. Incydent ten jest przypomnieniem o ryzyku związanym z funkcjami importu danych. Warto zweryfikować wewnętrzne procedury dotyczące oprogramowania open-source i upewnić się, że istnieje plan szybkiego reagowania na publikowane podatności. Dla podmiotów objętych dyrektywą NIS2 (unijna dyrektywa o bezpieczeństwie sieci), posiadanie takich procedur jest kluczowe.

4. Komunikacja z zespołem. Poinformuj użytkowników w swojej organizacji o zagrożeniu i konieczności aktualizacji. Podkreśl, aby nie importowali plików z zewnętrznych, niezweryfikowanych źródeł. Prosta komunikacja może zapobiec incydentowi.

Przedstawione rekomendacje nie zastępują pełnej konsultacji bezpieczeństwa, ale stanowią pierwszy, kluczowy krok w odpowiedzi na zidentyfikowane zagrożenie.

Źródła

Zobacz też

• Luka w Apache MINA SSHD (CVE-2026-48827) pozwala na odczyt plików
• CVE-2026-6637: Luka w PostgreSQL pozwala na wykonanie kodu
• Luka w Chrome (CVE-2026-9120) pozwala na zdalne wykonanie kodu

Footnotes

1. Joplin to otwartoźródłowa aplikacja do robienia notatek i list zadań, która organizuje notatki i listy w notatnikach. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩

2. Wersje Joplin wcześniejsze niż 3.5.7 zawierają lukę typu path traversal w importerze. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩ ↩²

3. Luka typu path traversal pozwala na nadpisywanie dowolnych plików na dysku. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩

4. Może to prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu. — https://radar.offseq.com/threat/cve-2026-22810-cwe-24-path-traversal-filedir-in-la-9d0103a2 ↩

5. Atakujący może stworzyć złośliwy plik .one zawierający nazwy plików z sekwencją ../../. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩ ↩²

6. Luka CVE-2026-22810 jest luką typu path traversal (CWE-24). — https://radar.offseq.com/threat/cve-2026-22810-cwe-24-path-traversal-filedir-in-la-9d0103a2 ↩ ↩²

7. Pomyślne wykorzystanie luki pozwala atakującemu z lokalnymi uprawnieniami na nadpisanie dowolnych plików na dysku ofiary. — https://radar.offseq.com/threat/cve-2026-22810-cwe-24-path-traversal-filedir-in-la-9d0103a2 ↩

8. Problem został załatany w wersji 3.5.7 aplikacji Joplin. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩ ↩²

9. Konwerter OneNote nie oczyszcza nazw osadzonych plików przed zapisaniem ich na dysku. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩

10. Nazwy plików z sekwencją ../../ są interpretowane jako część ścieżki docelowej podczas wyodrębniania załączników z pliku .one. — https://nvd.nist.gov/vuln/detail/CVE-2026-22810 ↩