CVE-2026-33978 in notesnookinformazioni

Riassunto

di VulDB • 22/06/2026

Notesnook è un'app per la presa di appunti focalizzata sulla privacy dell'utente e sulla facilità d'uso. Prima della versione 3.3.17, è presente una vulnerabilità di stored XSS nel flusso di condivisione mobile / web clip, poiché i metadati della clip controllati dall'attaccante vengono concatenati all'interno di HTML senza essere sottoposti a escaping e successivamente renderizzati tramite innerHTML all'interno del WebView dell'editor di condivisione mobile. Un attaccante può controllare i metadati del titolo condivisi (ad esempio tramite i metadati di condivisione di Android/iOS come TITLE/SUBJECT, o tramite i dati del titolo di link-preview) e iniettare HTML, ad esempio `<script>alert(1)</script>`. Quando la vittima apre il flusso di condivisione di Notesnook e seleziona Web clip, il payload viene inserito nell'HTML generato ed eseguito nel WebView dell'editor mobile. Questo problema è stato risolto nella versione 3.3.17.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00286

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!