Notesnook vulnerável a RCE via XSS armazenado (stored XSS) na renderização do Web Clipper

Notesnook é um aplicativo de anotações. Anterior à versão 3.3.11 no Web/Desktop e 3.3.17 no Android/iOS, um XSS armazenado (stored XSS) no fluxo de renderização do Web Clipper pode ser escalado para execução remota de código (remote code execution - RCE) no aplicativo desktop. A causa raiz é que o clipper preserva atributos controlados pelo atacante do elemento raiz da página de origem e os armazena dentro do HTML do web-clip. Quando o clipe é aberto posteriormente, o Notesnook renderiza esse HTML em um iframe de mesma origem e não isolado usando `contentDocument.write(...)`. Atributos de manipulador de eventos, como `onload`, `onclick` ou `onmouseover`, são executados na origem do Notesnook. No aplicativo desktop, isso se torna RCE porque o Electron está configurado com `nodeIntegration: true` e `contextIsolation: false`. A versão 3.3.11 Web/Desktop e 3.3.17 no Android/iOS corrigem o problema.