製品・ソフトウェアに関する情報

JVN脆弱性詳細

StreetwritersのNotesnook Mobileにおけるクロスサイトスクリプティングの脆弱性

Title	StreetwritersのNotesnook Mobileにおけるクロスサイトスクリプティングの脆弱性
Summary	Notesnookは、ユーザーのプライバシーと使いやすさに重点を置いたノート作成アプリです。バージョン3.3.17より前のバージョンには、モバイル共有およびウェブクリップのフローに格納型クロスサイトスクリプティング（XSS）脆弱性が存在していました。この脆弱性は、攻撃者が操作するクリップのメタデータが適切にエスケープ処理されずにHTMLに連結され、モバイル共有エディターのWebView内でinnerHTMLを使ってレンダリングされることが原因です。攻撃者は共有タイトルのメタデータ（例えば、AndroidやiOSの共有メタデータのTITLEやSUBJECT、またはリンクプレビューのタイトルデータなど）を操作し、/aimg src=x onerror=...のようなHTMLを注入することができます。被害者がNotesnookの共有フローを開いてウェブクリップを選択すると、ペイロードが生成されたHTMLに挿入され、モバイルエディターのWebView内で実行されます。この問題はバージョン3.3.17で修正されています。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 1, 2026, midnight
Registration Date	April 22, 2026, 10:09 a.m.
Last Update	April 22, 2026, 10:09 a.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

Streetwriters

Notesnook Mobile 3.3.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33978	https://www.cve.org/CVERecord?id=CVE-2026-33978
National Vulnerability Database (NVD)
2	CVE-2026-33978	https://nvd.nist.gov/vuln/detail/CVE-2026-33978

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Stored XSS in mobile share editor via unescaped web clip title metadata Advisory streetwriters/notesnook GitHub	https://github.com/streetwriters/notesnook/security/advisories/GHSA-f27j-fqc6-v7pm

その他

No	Name	URL
関連文書
1	Merge pull request #9519 from streetwriters/fix/GHSA-f27j-fqc6-v7pm streetwriters/notesnook@fc8807f GitHub	https://github.com/streetwriters/notesnook/commit/fc8807f74db5539036c5e58d3d68a11ea54098db
2	Release Notesnook Android v3.3.17 streetwriters/notesnook GitHub	https://github.com/streetwriters/notesnook/releases/tag/3.3.17-android

Change Log

No	Changed Details	Date of change
1	[2026年04月22日] 掲載	April 22, 2026, 10:09 a.m.

NVD Vulnerability Information

CVE-2026-33978

Summary	Notesnook is a note-taking app focused on user privacy & ease of use. Prior to version 3.3.17, a stored XSS vulnerability exists in the mobile share / web clip flow because attacker-controlled clip metadata is concatenated into HTML without escaping and then rendered with innerHTML inside the mobile share editor WebView. An attacker can control the shared title metadata (for example through Android/iOS share metadata such as TITLE / SUBJECT, or through link-preview title data) and inject HTML such as </a><img src=x onerror=...>. When the victim opens the Notesnook share flow and selects Web clip, the payload is inserted into the generated HTML and executed in the mobile editor WebView. This issue has been patched in version 3.3.17.
Publication Date	April 2, 2026, 2:28 a.m.
Registration Date	April 27, 2026, 12:21 p.m.
Last Update	April 21, 2026, 9:12 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:streetwriters:notesnook_mobile::::::android::*				3.3.17
cpe:2.3:a:streetwriters:notesnook_mobile::::::iphone_os::*				3.3.17

Related information, measures and tools

No	URL	refsource
1	https://github.com/streetwriters/notesnook/commit/fc8807f74db5539036c5e58d3d68a11ea54098db	security-advisories@github.com
2	https://github.com/streetwriters/notesnook/releases/tag/3.3.17-android	security-advisories@github.com
3	https://github.com/streetwriters/notesnook/security/advisories/GHSA-f27j-fqc6-v7pm	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html