Notesnook存储型XSS漏洞CVE-2026-31876

Notesnook 是一款以零知识端到端加密为核心、100% 开源的跨平台笔记应用，主打隐私安全与现代编辑体验，其注重隐私且易于使用。

一、基本情况

Notesnook 是端到端加密笔记应用程序，项目完全开源，代码可审计、是 Evernote、OneNote、Notion 等工具的隐私友好型替代方案。

Notesnook 采用应用锁、无痕设计，所有数据在设备端加密后同步，服务器仅存密文，实现真正的 “零知识”（Zero-Knowledge）架构。

栋科技漏洞库关注到 Notesnook 在3.3.9 之前的版本中存在的存储型XSS漏洞，漏洞已被追踪为CVE-2026-31876，CVSS3.X评分5.4。

二、漏洞分析

CVE-2026-31876漏洞是存在于Notesnook 在 3.3.9 之前的版本中，其编辑器的 Twitter/X 嵌入组件存在的存储型跨站脚本（XSS）漏洞。

该漏洞是一个存在于在呈现Twitter/X嵌入URL时，Notesnook的编辑器嵌入组件中存在的存储跨站点脚本（XSS）漏洞。

该漏洞源于受影响版本中的 `component.tsx` 中的 `tweetToEmbed()` 函数在处理用户提供的 URL 时，而没有进行任何转义或过滤。

然后在未经转义的情况下，就直接将 URL 链接插入到了HTML字符串中，然后将其分配给<iframe>的srcdoc属性。

攻击者可以通过在笔记中嵌入包含恶意 payload 的 Twitter URL，当其他用户查看该笔记时，恶意脚本就会在用户浏览器上下文中执行。

三、POC概念验证

1、特制链接如下：

管理员已设置登录后刷新可查看

2、通过了isTwitterX（）主机名检查，并导致生成的srcdoc HTML包含注入的标记。

3、恶意行为者创建或共享包含特制嵌入URL的笔记（包括通过笔记导入），受害者只需打开并呈现笔记。

CSP缺失或配置错误的环境中，包括Monograph（公共共享平台）或自托管，受害者打开包含恶意嵌入注释时在浏览器执行任意脚本。

所使用的iframe沙箱允许脚本+允许同源，这有效地消除了沙箱，使脚本执行变得可访问，从而可能导致敏感信息泄露。

四、影响范围

Notesnook < 3.3.9

五、修复建议

Notesnook >= 3.3.9

六、参考链接

管理员已设置登录后刷新可查看