CVE-2026-42090

Nome do Software Vulnerável e Versões Afetadas Notesnook Web/Desktop versões anteriores a 3.3.15 Notesnook iOS/Android versões anteriores a 3.3.20

Descrição Um problema de Cross-Site Scripting (XSS) armazenado existe no fluxo de exportação de notas. O problema ocorre porque os campos de notas exportados, incluindo title, headline e content, são inseridos no modelo HTML gerado sem a devida filtragem (escaping) de HTML. Quando uma nota é exportada para PDF, o aplicativo renderiza esse HTML em um iframe de mesma origem e não isolado (unsandboxed) usando iframe.srcdoc. Isso permite que scripts injetados sejam executados na origem do Notesnook. No aplicativo de desktop, isso pode ser escalado para execução remota de código (RCE) porque o Electron está configurado com nodeIntegration: true e contextIsolation: false.

Recomendações Atualizar as versões Web/Desktop para 3.3.15. Atualizar as versões iOS/Android para 3.3.20.