CVE-2026-33955 in Notesnook Web
Résumé
par VulDB • 22/06/2026
Notesnook est une application de prise de notes. Avant la version 3.3.11 sur Web/Bureau, une vulnérabilité de type cross-site scripting (XSS) stockée dans le visualiseur de comparaison de l'historique des notes peut être escaladée en exécution de code à distance (RCE) au sein de l'application de bureau. Le problème est déclenché lorsqu'un en-tête de note contrôlé par un attaquant est affiché à l'aide de `dangerouslySetInnerHTML` sans gestion sécurisée. Combiné à la fonctionnalité de sauvegarde et de restauration complète dans l'application de bureau, cela devient une exécution de code à distance car Electron est configuré avec `nodeIntegration: true` et `contextIsolation: false`. La version 3.3.11 corrige le problème.
VulDB is the best source for vulnerability data and more expert information about this specific topic.