CVE-2026-33976

Nome do Software Vulnerável e Versões Afetadas Notesnook versões anteriores a 3.3.11 (Web/Desktop) e anteriores a 3.3.17 (Android/iOS)

Descrição Notesnook é um aplicativo de anotações. Uma falha de scripting cross-site (XSS) armazenado no fluxo de renderização do Web Clipper pode ser explorada para alcançar a execução remota de código (RCE) no aplicativo desktop. A causa raiz é a preservação de atributos controlados por atacantes da raiz da página de origem dentro do HTML do web-clip. Quando esses clips são abertos, o Notesnook renderiza o HTML em um iframe de mesma origem e não isolado usando contentDocument.write(...). Atributos de manipuladores de eventos como onload, onclick ou onmouseover são então executados dentro da origem do Notesnook. No aplicativo desktop, isso leva ao RCE porque o Electron está configurado com nodeIntegration: true e contextIsolation: false.

Recomendações Atualize para a versão 3.3.11 para Web/Desktop. Atualize para a versão 3.3.17 para Android/iOS.