CVE-2026-33955

HIGH CVSS 3.1: 8,6 EPSS 0.05%
Обновлено 2 апреля 2026
Streetwriters
Параметр Значение
CVSS 8,6 (HIGH)
Уязвимые версии до 3.3.11
Устранено в версии 3.3.11
Тип уязвимости CWE-94 (Внедрение кода), CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Streetwriters
Публичный эксплойт Нет

Notesnook — приложение для создания заметок. До версии 3.3.11 в Интернете и на рабочем столе уязвимость межсайтового сценария, хранящаяся в средстве просмотра сравнения истории заметок, может перерасти в удаленное выполнение кода в настольном приложении. Проблема возникает, когда заголовок заметки, контролируемый злоумышленником, отображается с использованием `dangerouslySetInnerHTML` без безопасной обработки.

В сочетании с функцией полного резервного копирования и восстановления в настольном приложении это становится удаленным выполнением кода, поскольку Electron настроен с параметрами nodeIntegration: true и contextIsolation: false. Версия 3.3.11 исправляет проблему.

Показать оригинальное описание (EN)

Notesnook is a note-taking app. Prior to version 3.3.11 on Web/Desktop, a cross-site scripting vulnerability stored in the note history comparison viewer can escalate to remote code execution in a desktop application. The issue is triggered when an attacker-controlled note header is displayed using `dangerouslySetInnerHTML` without secure handling. When combined with the full backup and restore feature in the desktop application, this becomes remote code execution because Electron is configured with `nodeIntegration: true` and `contextIsolation: false`. Version 3.3.11 patches the issue.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Streetwriters Notesnook_Desktop
cpe:2.3:a:streetwriters:notesnook_desktop:*:*:*:*:*:*:*:*
3.3.11