Notesnook vulnérable à l'exécution de code à distance (RCE) via XSS stocké dans le rendu du Web Clipper

Notesnook est une application de prise de notes. Avant la version 3.3.11 sur Web/Desktop et 3.3.17 sur Android/iOS, un XSS stocké dans le flux de rendu du Web Clipper peut être élevé en exécution de code à distance dans l'application de bureau. La cause principale est que le clipper conserve les attributs contrôlés par l'attaquant à partir de l'élément racine de la page source et les stocke à l'intérieur du code HTML du web-clip. Lorsque le clip est ouvert ultérieurement, Notesnook rend ce code HTML dans un iframe de même origine, non sandboxé, en utilisant `contentDocument.write(...)`. Les attributs de gestionnaire d'événements tels que `onload`, `onclick` ou `onmouseover` s'exécutent dans l'origine Notesnook. Dans l'application de bureau, cela devient une exécution de code à distance (RCE) car Electron est configuré avec `nodeIntegration: true` et `contextIsolation: false`. La version 3.3.11 Web/Desktop et 3.3.17 sur Android/iOS corrigent le problème.