Plattform
other
Komponente
notesnook
Behoben in
3.3.12
3.3.18
CVE-2026-33976 describes a critical stored Cross-Site Scripting (XSS) vulnerability discovered in Notesnook, a note-taking application. This vulnerability can be escalated to Remote Code Execution (RCE) within the desktop application, posing a significant security risk. The vulnerability affects versions of Notesnook up to and including 3.3.17 on Web/Desktop and 3.3.17 on Android/iOS, and a fix is available in version 3.3.11.
Die CVE-2026-33976-Schwachstelle in Notesnook Web/Desktop stellt ein kritisches Risiko dar, da die Möglichkeit der Remote Code Execution (RCE) besteht. Diese gespeicherte XSS-Schwachstelle wird über den Web Clipper Rendering-Fluss ausgenutzt. Ein Angreifer kann bösartigen Code in eine Webseite injizieren, der dann als Clip in Notesnook gespeichert wird. Wenn dieser Clip in der Desktop-Anwendung geöffnet wird, rendert Notesnook ihn in einem unsicheren Iframe. Dies ermöglicht dem Angreifer, beliebigen Code im Kontext der Desktop-Anwendung auszuführen und potenziell die Systemsicherheit des Benutzers zu gefährden. Der CVSS-Schweregrad von 9,7 spiegelt die hohe Wahrscheinlichkeit einer Ausnutzung und die erheblichen Auswirkungen wider, die dies haben kann.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Benutzer einen bösartigen Web-Clip öffnet, der von einem Angreifer erstellt wurde. Der Angreifer muss in der Lage sein, die Attribute des Stammelements der ursprünglichen Webseite zu kontrollieren, die erfasst wird. Sobald der Clip in der Desktop-Anwendung geöffnet wird, wird der bösartige Code innerhalb des Iframes ausgeführt, wodurch der Angreifer potenziell auf Systemressourcen zugreifen, vertrauliche Informationen stehlen oder sogar die Kontrolle über das System übernehmen kann. Die Schwachstelle ist besonders besorgniserregend, da der Angreifer keine weitere Benutzerinteraktion benötigt, nachdem der Clip erstellt wurde.
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.14% (34% Perzentil)
CISA SSVC
CVSS-Vektor
Um dieses Risiko zu mindern, wird dringend empfohlen, Notesnook auf Version 3.3.11 für Web/Desktop und 3.3.17 für Android/iOS zu aktualisieren. Diese Updates beheben die Schwachstelle, indem Sicherheitsmaßnahmen implementiert werden, um die Injektion und Ausführung von bösartigem Code während des Web Clipper Rendering-Prozesses zu verhindern. Während der Aktualisierung wird empfohlen, verdächtige Web-Clips oder solche aus nicht vertrauenswürdigen Quellen zu vermeiden. Die Überwachung ungewöhnlicher Aktivitäten innerhalb der Notesnook-Anwendung kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen.
Actualice Notesnook a la versión 3.3.11 o superior en Web/Desktop y a la versión 3.3.17 o superior en Android/iOS. Esto corrige la vulnerabilidad XSS almacenada que puede llevar a la ejecución remota de código.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Gespeicherter XSS (oder persistenter XSS) tritt auf, wenn benutzerbereitgestellte Daten auf einem Server gespeichert werden (z. B. in einer Datenbank) und dann anderen Benutzern angezeigt werden. In diesem Fall wird der bösartige Code im Web-Clip gespeichert.
Remote Code Execution ermöglicht es einem Angreifer, beliebigen Code auf dem System des Opfers auszuführen, was zu Datenverlust, Informationsdiebstahl oder vollständiger Systemkontrolle führen kann.
Wenn Sie Notesnook nicht sofort aktualisieren können, vermeiden Sie das Öffnen von Web-Clips aus unbekannten oder verdächtigen Quellen. Erwägen Sie, die Web Clipper-Funktion vorübergehend zu deaktivieren.
Ja, alle Versionen vor 3.3.11 (Web/Desktop) und 3.3.17 (Android/iOS) sind anfällig.
Derzeit gibt es keine speziellen Tools, um bösartige Web-Clips zu erkennen. Die beste Verteidigung ist Vorsicht und die Aktualisierung auf die neueste Version von Notesnook.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.