CVE-2026-42090Notesnook Web/Desktop 3.3.15及iOS/Android 3.3.20之前版本存在严重的存储型XSS漏洞。由于导出笔记时未对标题、标题头和内容进行HTML转义,攻击者可注入恶意脚本。当用户导出笔记为PDF时,脚本在无沙箱的同源iframe中执行。在桌面应用中,结合Electron的不安全配置,该漏洞可进一步升级为远程代码执行,严重威胁用户系统安全。
该漏洞的根本原因在于Notesnook的笔记导出功能对用户输入缺乏严格的HTML转义处理。当笔记被导出为PDF时,系统会将标题、标题头和内容直接插入到预生成的HTML模板中。渲染过程使用了iframe.srcdoc属性,且该iframe未设置沙箱,导致其在Notesnook的同源上下文中运行。最关键的安全隐患在于桌面版应用的Electron配置。由于开启了nodeIntegration: true并禁用了contextIsolation,注入的JavaScript代码不仅拥有网页的上下文权限,还能直接访问Node.js环境。这意味着攻击者通过构造特定的XSS Payload,可以利用Node.js的child_process等模块执行任意系统命令,从而实现从跨站脚本攻击到远程代码执行的跨越,完全控制受害者的主机。