प्लेटफ़ॉर्म
other
घटक
notesnook
में ठीक किया गया
3.3.12
3.3.18
CVE-2026-33976 Notesnook में एक संग्रहीत XSS भेद्यता है जो डेस्कटॉप ऐप में रिमोट कोड निष्पादन (RCE) तक बढ़ सकती है। यह भेद्यता वेब क्लिपर रेंडरिंग प्रवाह में मौजूद है। प्रभावित संस्करण 3.3.17 से पहले के हैं। इस समस्या को संस्करण 3.3.11 में ठीक कर दिया गया है।
Notesnook Web/Desktop में CVE-2026-33976 एक महत्वपूर्ण जोखिम पैदा करता है, क्योंकि इसमें रिमोट कोड एग्जीक्यूशन (RCE) की संभावना है। यह संग्रहीत XSS भेद्यता वेब क्लिपर रेंडरिंग प्रवाह के माध्यम से शोषण की जाती है। एक हमलावर वेब पेज में दुर्भावनापूर्ण कोड इंजेक्ट कर सकता है, जिसे फिर Notesnook में क्लिप के रूप में सहेजा जा सकता है। जब इस क्लिप को डेस्कटॉप एप्लिकेशन में खोला जाता है, तो Notesnook इसे बिना उचित सैंडबॉक्स सुरक्षा के iframe के अंदर प्रस्तुत करता है। यह हमलावर को डेस्कटॉप एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति देता है, जिससे संभावित रूप से उपयोगकर्ता की सिस्टम सुरक्षा से समझौता होता है। CVSS गंभीरता रेटिंग 9.7 उच्च संभावना के शोषण और संभावित महत्वपूर्ण प्रभाव को दर्शाता है।
इस भेद्यता का शोषण करने के लिए, एक उपयोगकर्ता को एक हमलावर द्वारा बनाई गई दुर्भावनापूर्ण वेब क्लिप खोलनी होगी। हमलावर को उस मूल वेब पेज के रूट तत्व के गुणों को नियंत्रित करने में सक्षम होना चाहिए जिसे क्लिप किया जा रहा है। जब क्लिप डेस्कटॉप एप्लिकेशन में खुलती है, तो दुर्भावनापूर्ण कोड iframe के अंदर निष्पादित होता है, जिससे हमलावर को संभावित रूप से सिस्टम संसाधनों तक पहुंचने, गोपनीय जानकारी चुराने या सिस्टम को नियंत्रित करने की अनुमति मिलती है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि क्लिप बनने के बाद हमलावर को उपयोगकर्ता से अतिरिक्त बातचीत की आवश्यकता नहीं होती है।
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने के लिए, Notesnook को वेब/डेस्कटॉप के लिए 3.3.11 और Android/iOS के लिए 3.3.17 में अपडेट करने की दृढ़ता से अनुशंसा की जाती है। ये अपडेट वेब क्लिपर रेंडरिंग प्रक्रिया के दौरान दुर्भावनापूर्ण कोड के इंजेक्शन और निष्पादन को रोकने के लिए सुरक्षा उपायों को लागू करके भेद्यता को ठीक करते हैं। अपडेट लागू करते समय, संदिग्ध वेब क्लिप या अविश्वसनीय स्रोतों से क्लिप खोलने से बचना उचित है। Notesnook एप्लिकेशन के भीतर असामान्य गतिविधि की निगरानी संभावित शोषण प्रयासों का पता लगाने में भी मदद कर सकती है।
Actualice Notesnook a la versión 3.3.11 o superior en Web/Desktop y a la versión 3.3.17 o superior en Android/iOS. Esto corrige la vulnerabilidad XSS almacenada que puede llevar a la ejecución remota de código.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संग्रहीत XSS (या लगातार) तब होता है जब उपयोगकर्ता द्वारा प्रदान किए गए डेटा को सर्वर (जैसे, डेटाबेस में) संग्रहीत किया जाता है और फिर अन्य उपयोगकर्ताओं को प्रदर्शित किया जाता है। इस मामले में, दुर्भावनापूर्ण कोड वेब क्लिप में संग्रहीत किया जाता है।
रिमोट कोड एग्जीक्यूशन एक हमलावर को पीड़ित के सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देता है, जिससे डेटा हानि, जानकारी की चोरी या सिस्टम पर पूर्ण नियंत्रण हो सकता है।
यदि आप तुरंत Notesnook को अपडेट नहीं कर सकते हैं, तो अज्ञात या संदिग्ध स्रोतों से वेब क्लिप खोलने से बचें। वेब क्लिपर सुविधा को अस्थायी रूप से अक्षम करने पर विचार करें।
हाँ, 3.3.11 (वेब/डेस्कटॉप) और 3.3.17 (एंड्रॉइड/आईओएस) से पहले के सभी संस्करणों में भेद्यता है।
वर्तमान में दुर्भावनापूर्ण वेब क्लिप का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। सबसे अच्छी रक्षा सावधानी बरतना और Notesnook के नवीनतम संस्करण में अपडेट करना है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।