CVE-2026-42090
KrytyczneStreszczenie
W aplikacji Notesnook występuje podatność typu XSS, która może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej. Problem dotyczy eksportu notatek, gdzie pola takie jak tytuł i treść są wstawiane do szablonu HTML bez odpowiedniego zabezpieczenia.
Ocena ryzyka
Wykorzystanie tej podatności może pozwolić atakującemu na zdalne wykonanie kodu na urządzeniu użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności.
Rekomendacja
Zaleca się aktualizację do wersji Notesnook Web/Desktop 3.3.15 oraz Notesnook iOS/Android 3.3.20, które zawierają poprawki eliminujące tę podatność.
Oryginalny opis (angielski, źródło NVD)
Notesnook is a note-taking app focused on user privacy & ease of use. Prior to Notesnook Web/Desktop version 3.3.15 and prior to Notesnook iOS/Android version 3.3.20, a stored XSS vulnerability in the note export flow can be escalated to remote code execution in the desktop app. The root cause is that exported note fields such as title, headline, and content are inserted into the generated HTML template without HTML escaping. When the note is later exported to PDF, Notesnook renders that HTML into a same-origin, unsandboxed iframe using iframe.srcdoc = .... Injected script executes in the Notesnook origin. In the desktop app, this becomes RCE because Electron is configured with nodeIntegration: true and contextIsolation: false. This issue has been patched in Notesnook Web/Desktop version 3.3.15 and Notesnook iOS/Android version 3.3.20.

