Platform
other
Component
notesnook
Opgelost in
3.3.12
3.3.18
CVE-2026-33976 describes a critical stored Cross-Site Scripting (XSS) vulnerability discovered in Notesnook, a note-taking application. This vulnerability can be escalated to Remote Code Execution (RCE) within the desktop application, posing a significant security risk. The vulnerability affects versions of Notesnook up to and including 3.3.17 on Web/Desktop and 3.3.17 on Android/iOS, and a fix is available in version 3.3.11.
CVE-2026-33976 in Notesnook Web/Desktop vormt een kritisch risico vanwege de mogelijkheid van Remote Code Execution (RCE). Deze opgeslagen XSS-kwetsbaarheid wordt uitgebuit via de Web Clipper rendering flow. Een aanvaller kan kwaadaardige code injecteren in een webpagina, die vervolgens wordt opgeslagen als een clip in Notesnook. Wanneer deze clip in de desktopapplicatie wordt geopend, rendert Notesnook deze in een ongesandboxde iframe. Dit stelt de aanvaller in staat om willekeurige code uit te voeren in de context van de desktopapplicatie, waardoor de beveiliging van het systeem van de gebruiker mogelijk wordt gecompromitteerd. De CVSS-severity score van 9.7 weerspiegelt de hoge waarschijnlijkheid van exploitatie en de aanzienlijke impact die dit kan hebben.
Exploitatie van deze kwetsbaarheid vereist dat een gebruiker een kwaadaardige webclip opent die door een aanvaller is gemaakt. De aanvaller moet in staat zijn om de attributen van het root-element van de oorspronkelijke webpagina te controleren die wordt geknipt. Zodra de clip in de desktopapplicatie wordt geopend, wordt de kwaadaardige code uitgevoerd binnen de iframe, waardoor de aanvaller mogelijk toegang kan krijgen tot systeemresources, vertrouwelijke informatie kan stelen of zelfs de controle over het systeem kan overnemen. De kwetsbaarheid is vooral zorgwekkend omdat de aanvaller geen verdere gebruikersinteractie nodig heeft nadat de clip is gemaakt.
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
Om dit risico te beperken, wordt ten zeerste aanbevolen Notesnook te updaten naar versie 3.3.11 voor Web/Desktop en 3.3.17 voor Android/iOS. Deze updates corrigeren de kwetsbaarheid door beveiligingsmaatregelen te implementeren om de injectie en uitvoering van kwaadaardige code tijdens het Web Clipper renderingproces te voorkomen. Tijdens het toepassen van de update wordt aanbevolen om verdachte webclips of van onbetrouwbare bronnen te vermijden. Het monitoren van ongebruikelijke activiteit binnen de Notesnook-applicatie kan ook helpen om potentiële exploitatiepogingen te detecteren.
Actualice Notesnook a la versión 3.3.11 o superior para la versión de escritorio y a la versión 3.3.17 o superior para las versiones de Android/iOS. Esto corrige la vulnerabilidad XSS almacenada que podría permitir la ejecución remota de código.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Opgeslagen XSS (of persistent) treedt op wanneer gebruikersgegevens worden opgeslagen op een server (bijvoorbeeld in een database) en vervolgens aan andere gebruikers worden getoond. In dit geval wordt de kwaadaardige code opgeslagen in de webclip.
Remote Code Execution stelt een aanvaller in staat om willekeurige code op het systeem van het slachtoffer uit te voeren, wat kan leiden tot gegevensverlies, diefstal van informatie of volledige systeemcontrole.
Als u Notesnook niet onmiddellijk kunt updaten, vermijd dan het openen van webclips van onbekende of verdachte bronnen. Overweeg om de Web Clipper-functie tijdelijk uit te schakelen.
Ja, alle versies vóór 3.3.11 (Web/Desktop) en 3.3.17 (Android/iOS) zijn kwetsbaar.
Momenteel zijn er geen specifieke tools om kwaadaardige webclips te detecteren. De beste verdediging is voorzichtigheid en het updaten naar de nieuwste versie van Notesnook.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.