Plataforma
other
Componente
notesnook
Corrigido em
3.3.12
3.3.18
CVE-2026-33976 descreve uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no Notesnook. Essa falha permite que um atacante execute código arbitrário remotamente no aplicativo desktop. A vulnerabilidade afeta versões anteriores ou iguais a 3.3.17. A versão 3.3.11 corrige esta vulnerabilidade.
A vulnerabilidade CVE-2026-33976 no Notesnook Web/Desktop representa um risco crítico devido à possibilidade de Execução Remota de Código (RCE). Essa falha de XSS armazenado é explorada através do fluxo de renderização do Web Clipper. Um atacante pode injetar código malicioso em uma página web, que é então salvo como um recorte no Notesnook. Quando este recorte é aberto no aplicativo desktop, o Notesnook o renderiza dentro de um iframe sem as devidas proteções de sandbox. Isso permite que o atacante execute código arbitrário no contexto do aplicativo desktop, comprometendo potencialmente a segurança do sistema do usuário. A pontuação de severidade CVSS de 9.7 reflete a alta probabilidade de exploração e o impacto significativo que pode ter.
A exploração desta vulnerabilidade requer que um usuário abra um recorte web malicioso criado por um atacante. O atacante deve ser capaz de controlar os atributos do elemento raiz da página web original que está sendo recortada. Uma vez que o recorte é aberto no aplicativo desktop, o código malicioso é executado dentro do iframe, permitindo que o atacante acesse potencialmente recursos do sistema, roube informações confidenciais ou até mesmo assuma o controle do sistema. A vulnerabilidade é particularmente preocupante porque o atacante não precisa de interação adicional do usuário após a criação do recorte.
Users of Notesnook, particularly those who rely on the Web Clipper feature to capture content from websites, are at significant risk. This includes individuals and organizations using Notesnook for research, note-taking, and content management. Shared hosting environments where multiple users share a Notesnook installation are also at increased risk, as a compromised user account could potentially impact other users on the same server.
• windows / desktop: Monitor Notesnook process for unusual network activity or unexpected process creation. Use Sysinternals tools like Process Monitor to observe file system and registry modifications.
Get-Process Notesnook | Select-Object -ExpandProperty Path• linux / server: (Notesnook desktop app may run on Linux via Wine) Monitor Notesnook process for unusual network activity. Examine system logs for suspicious entries related to Notesnook.
ps aux | grep Notesnook• generic web: Monitor web server access logs for requests containing suspicious HTML attributes or JavaScript code within the Web Clipper URL.
grep -i 'onload|onclick|onmouseover' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
Para mitigar este risco, é fortemente recomendado atualizar o Notesnook para a versão 3.3.11 para Web/Desktop e 3.3.17 para Android/iOS. Essas atualizações corrigem a vulnerabilidade implementando medidas de segurança para evitar a injeção e execução de código malicioso durante o processo de renderização do Web Clipper. Enquanto aplica a atualização, é aconselhável evitar abrir recortes web suspeitos ou de fontes não confiáveis. Monitorar atividades incomuns dentro do aplicativo Notesnook também pode ajudar a detectar tentativas de exploração.
Actualice Notesnook a la versión 3.3.11 o superior en Web/Desktop y a la versión 3.3.17 o superior en Android/iOS. Esto corrige la vulnerabilidad XSS almacenada que puede llevar a la ejecución remota de código.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS armazenado (ou persistente) ocorre quando dados fornecidos pelo usuário são armazenados em um servidor (por exemplo, em um banco de dados) e, em seguida, exibidos para outros usuários. Neste caso, o código malicioso é armazenado no recorte web.
A Execução Remota de Código permite que um atacante execute código arbitrário no sistema da vítima, o que pode levar à perda de dados, roubo de informações ou controle total do sistema.
Se não puder atualizar imediatamente, evite abrir recortes web de fontes desconhecidas ou suspeitas. Considere desativar temporariamente o recurso Web Clipper.
Sim, todas as versões anteriores a 3.3.11 (Web/Desktop) e 3.3.17 (Android/iOS) são vulneráveis.
Atualmente, não existem ferramentas específicas para detectar recortes web maliciosos. A melhor defesa é a cautela e a atualização para a versão mais recente do Notesnook.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.