Plateforme
other
Composant
notesnook
Corrigé dans
3.3.12
3.3.18
CVE-2026-33976 est une vulnérabilité de type Cross-Site Scripting (XSS) stocké affectant Notesnook. Un attaquant peut exploiter cette faille pour exécuter du code à distance, en raison d'une mauvaise gestion des attributs HTML lors du rendu du Web Clipper. Les versions affectées sont celles inférieures à 3.3.17. La vulnérabilité a été corrigée dans la version 3.3.11.
La vulnérabilité CVE-2026-33976 dans Notesnook Web/Desktop représente un risque critique en raison de la possibilité d'exécution de code à distance (RCE). Cette faille de XSS stocké est exploitée via le flux de rendu du Web Clipper. Un attaquant peut injecter du code malveillant dans une page web, qui est ensuite enregistré sous forme de clip dans Notesnook. Lorsque ce clip est ouvert dans l'application de bureau, Notesnook le rend dans un iframe non sandboxé. Cela permet à l'attaquant d'exécuter du code arbitraire dans le contexte de l'application de bureau, compromettant potentiellement la sécurité du système de l'utilisateur. Le score de gravité CVSS de 9,7 reflète la forte probabilité d'exploitation et l'impact significatif qu'elle peut avoir.
L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un clip web malveillant créé par un attaquant. L'attaquant doit être capable de contrôler les attributs de l'élément racine de la page web originale qui est en cours de capture. Une fois le clip ouvert dans l'application de bureau, le code malveillant s'exécute dans l'iframe, permettant à l'attaquant d'accéder potentiellement aux ressources du système, de voler des informations confidentielles ou même de prendre le contrôle du système. La vulnérabilité est particulièrement préoccupante car l'attaquant n'a pas besoin d'une interaction supplémentaire de l'utilisateur après la création du clip.
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
Afin d'atténuer ce risque, il est fortement recommandé de mettre à jour Notesnook vers la version 3.3.11 pour Web/Desktop et 3.3.17 pour Android/iOS. Ces mises à jour corrigent la vulnérabilité en mettant en œuvre des mesures de sécurité pour empêcher l'injection et l'exécution de code malveillant pendant le processus de rendu du Web Clipper. Pendant l'application de la mise à jour, il est conseillé d'éviter d'ouvrir des clips web suspects ou provenant de sources non fiables. Surveiller les activités inhabituelles dans l'application Notesnook peut également aider à détecter les tentatives d'exploitation potentielles.
Actualice Notesnook a la versión 3.3.11 o superior en Web/Desktop y a la versión 3.3.17 o superior en Android/iOS. Esto corrige la vulnerabilidad XSS almacenada que puede llevar a la ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS stocké (ou persistant) se produit lorsque les données fournies par l'utilisateur sont stockées sur un serveur (par exemple, dans une base de données) et ensuite affichées à d'autres utilisateurs. Dans ce cas, le code malveillant est stocké dans le clip web.
L'exécution de code à distance permet à un attaquant d'exécuter du code arbitraire sur le système de la victime, ce qui peut entraîner une perte de données, un vol d'informations ou un contrôle total du système.
Si vous ne pouvez pas mettre à jour immédiatement, évitez d'ouvrir des clips web provenant de sources inconnues ou suspectes. Envisagez de désactiver temporairement la fonctionnalité Web Clipper.
Oui, toutes les versions antérieures à 3.3.11 (Web/Desktop) et 3.3.17 (Android/iOS) sont vulnérables.
Actuellement, il n'existe pas d'outils spécifiques pour détecter les clips web malveillants. La meilleure défense est la prudence et la mise à jour vers la dernière version de Notesnook.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.