CVE-2026-42090 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:存储型 XSS 导致远程代码执行 (RCE)。 💥 **后果**:攻击者可在桌面端执行任意系统命令,彻底接管用户设备。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-79**:HTML 转义缺失。 📍 **缺陷点**:导出笔记时,标题/内容未过滤直接注入 `iframe.srcdoc`,且 iframe **无沙箱保护**。
Q3影响谁?(版本/组件)
📦 **受影响版本**: - Web/桌面端:< 3.3.15 - iOS/Android:< 3.3.20 🏢 **厂商**:Streetwriters (Notesnook)。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:桌面端拥有 **Node.js 集成权限**。 📂 **数据**:可读取本地文件、执行恶意脚本,实现 **远程代码执行 (RCE)**。
Q5利用门槛高吗?(认证/配置)
⚠️ **门槛**:中等。 - 需用户交互(UI:R)。 - 需触发导出流程。 - 桌面端需配置 `nodeIntegration: true`(默认或常见配置)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp/PoC**:数据中未提供公开 PoC 或 **在野利用** 报告。 🔒 目前主要依赖厂商修复。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**: 1. 检查 Notesnook 版本是否低于修复版。 2. 审查 Electron 配置:`nodeIntegration` 是否开启? 3. 扫描导出 HTML 模板是否包含未转义用户输入。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**: - 桌面/Web 升级至 **3.3.15+**。 - 移动端升级至 **3.3.20+**。 🔗 参考 GitHub Release 及安全公告。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **禁用 Node 集成**:设置 `nodeIntegration: false`。 2. **启用上下文隔离**:设置 `contextIsolation: true`。 3. 避免导出包含可疑内容的笔记。
Q10急不急?(优先级建议)
🔥 **优先级:极高 (Critical)**。 💡 **建议**:桌面端用户 **立即升级**!此漏洞可直接导致 RCE,危害极大,无需等待 PoC 曝光。