Notesnook — это приложение для создания заметок, ориентированное на конфиденциальность пользователей и простоту использования. До версии 3.3.9 в компоненте встраивания редактора Notesnook существовала уязвимость хранимого межсайтового скриптинга (XSS) при рендеринге URL-адресов встраивания Twitter/X. ФункцияtwitterToEmbed() в компонентеComponent.tsx интерполировала предоставленный пользователем URL-адрес непосредственно в строку HTML без экранирования, которая затем была присвоена атрибуту srcdoc <iframe>. Эта уязвимость исправлена в версии 3.3.9.
Показать оригинальное описание (EN)
Notesnook is a note-taking app focused on user privacy & ease of use. Prior to 3.3.9, a Stored Cross-Site Scripting (XSS) vulnerability existed in Notesnook's editor embed component when rendering Twitter/X embed URLs. The tweetToEmbed() function in component.tsx interpolated the user-supplied URL directly into an HTML string without escaping, which was then assigned to the srcdoc attribute of an <iframe>. This vulnerability is fixed in 3.3.9.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Streetwriters Notesnook_Desktop
cpe:2.3:a:streetwriters:notesnook_desktop:*:*:*:*:*:*:*:*
|
— |
3.3.9
|
|
Streetwriters Notesnook_Mobile
cpe:2.3:a:streetwriters:notesnook_mobile:*:*:*:*:*:android:*:*
|
— |
3.3.15
|
|
Streetwriters Notesnook_Mobile
cpe:2.3:a:streetwriters:notesnook_mobile:*:*:*:*:*:ios:*:*
|
— |
3.3.15
|
|
Streetwriters Notesnook_Mobile
cpe:2.3:a:streetwriters:notesnook_mobile:*:*:*:*:*:iphone_os:*:*
|
— |
3.3.15
|