Plataforma
javascript
Componente
notesnook
Corregido en
3.3.12
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Notesnook Web/Desktop, una aplicación para tomar notas. Esta vulnerabilidad, presente en versiones anteriores a la 3.3.11, reside en el visor de comparación del historial de notas. Al explotar esta vulnerabilidad, un atacante puede lograr la ejecución remota de código en la aplicación de escritorio, especialmente cuando se combina con la función de copia de seguridad y restauración, debido a la configuración de Electron con nodeIntegration: true y contextIsolation: false. La versión 3.3.11 incluye una corrección para esta vulnerabilidad.
La vulnerabilidad XSS en Notesnook Web/Desktop permite a un atacante inyectar scripts maliciosos en las páginas web de la aplicación. En versiones anteriores a 3.3.11, esta vulnerabilidad se agrava significativamente debido a la función de copia de seguridad y restauración de la aplicación de escritorio. Un atacante podría crear una nota con un encabezado malicioso que, al ser visualizado en el visor de comparación, se ejecute a través de dangerouslySetInnerHTML. Dado que Electron permite la integración de Node.js y la falta de aislamiento del contexto, este script puede acceder a los recursos del sistema y ejecutar código arbitrario en el entorno de la aplicación de escritorio, lo que resulta en una ejecución remota de código. Esto podría llevar al robo de datos sensibles, la modificación de archivos o incluso el control total del sistema.
Esta vulnerabilidad ha sido publicada el 2026-03-27. No se ha reportado su explotación activa en campañas conocidas, pero la combinación de XSS con la ejecución remota de código en un entorno de escritorio la convierte en un objetivo atractivo para atacantes. La configuración de Electron con nodeIntegration: true y contextIsolation: false es un patrón conocido que aumenta el riesgo de ejecución de código, similar a vulnerabilidades observadas en otras aplicaciones Electron. Se recomienda monitorear activamente los sistemas que utilizan Notesnook Web/Desktop para detectar cualquier actividad sospechosa.
Users of Notesnook Web/Desktop who are using versions prior to 3.3.11 are at risk. This includes individuals and organizations relying on Notesnook for note-taking and collaboration, particularly those who utilize the backup and restore feature. Shared hosting environments where Notesnook is installed could be particularly vulnerable, as a compromised note could affect multiple users.
• javascript / desktop:
// Check for suspicious note content in the history comparison viewer
// Look for <script> tags or event handlers• generic web:
curl -I https://your-notesnook-instance/note/history | grep -i 'X-XSS-Protection'• generic web:
# Check access logs for requests containing suspicious characters in note parameters
grep -i '<script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33955 es actualizar Notesnook Web/Desktop a la versión 3.3.11 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa de sus datos antes de actualizar. Como medida temporal, desactive la función de copia de seguridad y restauración de la aplicación de escritorio, aunque esto limitará la funcionalidad. Además, revise cuidadosamente cualquier nota importada o creada en la aplicación en busca de contenido sospechoso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el visor de comparación del historial de notas no permita la ejecución de scripts maliciosos.
Actualice Notesnook Web/Desktop a la versión 3.3.11 o superior. Esta versión corrige la vulnerabilidad de cross-site scripting almacenado que podría permitir la ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33955 is a cross-site scripting vulnerability in Notesnook Web/Desktop versions before 3.3.11. It allows attackers to inject malicious scripts, potentially leading to remote code execution.
Yes, if you are using Notesnook Web/Desktop version 3.3.11 or earlier, you are potentially affected by this vulnerability.
Upgrade to Notesnook Web/Desktop version 3.3.11 or later to resolve the vulnerability. As a temporary workaround, disable the backup and restore feature.
While no active exploitation has been confirmed, the vulnerability's potential for remote code execution makes it a high-priority concern and warrants immediate attention.
Please refer to the official Notesnook security advisory for detailed information and updates regarding CVE-2026-33955.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.