CVE-2026-33978 in notesnookthông tin

Tóm tắt

Bởi VulDB • 22/06/2026

Notesnook là một ứng dụng ghi chú tập trung vào quyền riêng tư của người dùng và tính dễ sử dụng. Trước phiên bản 3.3.17, tồn tại một lỗ hổng XSS lưu trữ (stored XSS) trong luồng chia sẻ trên thiết bị di động / cắt dán web (web clip) do siêu dữ liệu clip do kẻ tấn công kiểm soát được nối chuỗi vào HTML mà không được thoát ký tự, sau đó được hiển thị bằng innerHTML bên trong WebView của trình soạn thảo chia sẻ trên thiết bị di động. Kẻ tấn công có thể kiểm soát siêu dữ liệu tiêu đề được chia sẻ (ví dụ thông qua siêu dữ liệu chia sẻ của Android/iOS như TITLE/SUBJECT, hoặc thông qua dữ liệu tiêu đề xem trước liên kết) và tiêm các đoạn mã HTML chẳng hạn như <script>alert(1)</script>. Khi nạn nhân mở luồng chia sẻ Notesnook và chọn Web clip, mã độc sẽ được chèn vào HTML được tạo ra và thực thi trong WebView của trình soạn thảo trên thiết bị di động. Lỗ hổng này đã được vá trong phiên bản 3.3.17.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

24/03/2026

Tiết lộ

01/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00286

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!