プラットフォーム
other
コンポーネント
notesnook
修正版
3.3.12
3.3.18
CVE-2026-33976 は、Notesnook Web/Desktop に存在する XSS 脆弱性です。Web Clipper のレンダリングフローで、XSS が RCE (Remote Code Execution) にエスカレートする可能性があります。影響を受けるバージョンは 3.3.11 以前です。この問題はバージョン 3.3.11 で修正されました。
Notesnook Web/Desktop の CVE-2026-33976 は、リモートコード実行 (RCE) の可能性により、重大なリスクをもたらします。この保存型 XSS の脆弱性は、Web Clipper のレンダリングフローを通じて悪用されます。攻撃者は、Web ページに悪意のあるコードを注入し、それを Notesnook にクリップとして保存できます。このクリップをデスクトップアプリケーションで開くと、Notesnook は適切なサンドボックス保護なしに iframe 内でレンダリングします。これにより、攻撃者はデスクトップアプリケーションのコンテキストで任意のコードを実行でき、ユーザーのシステムセキュリティが損なわれる可能性があります。CVSS 重大度スコア 9.7 は、悪用の可能性が高く、重大な影響を与える可能性があることを反映しています。
この脆弱性の悪用には、攻撃者が作成した悪意のある Web クリップをユーザーがオープンする必要があります。攻撃者は、クリップされる元の Web ページのルート要素の属性を制御できる必要があります。クリップをデスクトップアプリケーションで開くと、悪意のあるコードが iframe 内で実行され、攻撃者がシステムリソースにアクセスしたり、機密情報を盗んだり、システムを制御したりする可能性があります。この脆弱性は、クリップが作成された後にユーザーが追加の操作を行う必要がないため、特に懸念されます。
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVSS ベクトル
このリスクを軽減するために、Notesnook を Web/Desktop の 3.3.11、Android/iOS の 3.3.17 にアップデートすることを強くお勧めします。これらのアップデートは、Web Clipper のレンダリングプロセス中に悪意のあるコードの注入と実行を防ぐためのセキュリティ対策を実装することで、脆弱性を修正します。アップデートを適用する間、疑わしい Web クリップを開いたり、信頼できないソースからのクリップを開いたりしないようにすることをお勧めします。Notesnook アプリケーション内の異常なアクティビティを監視することで、潜在的な悪用試行を検出するのにも役立ちます。
デスクトップ版の場合は Notesnook をバージョン 3.3.11 以降に、Android/iOS 版の場合はバージョン 3.3.17 以降に更新してください。これにより、リモートコード実行を可能にする可能性のある保存された XSS の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
保存型 XSS (または永続型) は、ユーザーが提供したデータがサーバー (データベースなど) に保存され、その後他のユーザーに表示される場合に発生します。この場合、悪意のあるコードは Web クリップに保存されます。
リモートコード実行により、攻撃者は被害者のシステムで任意のコードを実行でき、データ損失、情報窃盗、またはシステム全体の制御につながる可能性があります。
すぐに Notesnook をアップデートできない場合は、不明なソースまたは疑わしいソースからの Web クリップを開かないでください。一時的に Web Clipper 機能を使用しないようにすることを検討してください。
はい、3.3.11 (Web/Desktop) および 3.3.17 (Android/iOS) より前のすべてのバージョンが脆弱です。
現在、悪意のある Web クリップを検出するための特定のツールはありません。最適な防御策は、注意を払い、Notesnook の最新バージョンにアップデートすることです。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。