CVE-2026-33978 in notesnook
Riassunto
di VulDB • 22/06/2026
Notesnook è un'app per la presa di appunti focalizzata sulla privacy dell'utente e sulla facilità d'uso. Prima della versione 3.3.17, è presente una vulnerabilità di stored XSS nel flusso di condivisione mobile / web clip, poiché i metadati della clip controllati dall'attaccante vengono concatenati all'interno di HTML senza essere sottoposti a escaping e successivamente renderizzati tramite innerHTML all'interno del WebView dell'editor di condivisione mobile. Un attaccante può controllare i metadati del titolo condivisi (ad esempio tramite i metadati di condivisione di Android/iOS come TITLE/SUBJECT, o tramite i dati del titolo di link-preview) e iniettare HTML, ad esempio `<script>alert(1)</script>`. Quando la vittima apre il flusso di condivisione di Notesnook e seleziona Web clip, il payload viene inserito nell'HTML generato ed eseguito nel WebView dell'editor mobile. Questo problema è stato risolto nella versione 3.3.17.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.