Stored XSS in mobile share editor via unescaped web clip title metadata 漏洞概述 Notesnook 移动应用的分享/网页剪辑流程中存在存储型 XSS 漏洞。攻击者控制的剪辑元数据(标题)被直接拼接进 HTML 而未进行转义,随后在移动分享编辑器的 WebView 中通过 渲染执行。 漏洞位置: 中的 函数 根本原因: 来自分享元数据(Android/iOS 的 / )或链接预览元数据 该值直接插入 标签的 HTML 中,未做转义处理 生成的 HTML 通过 渲染,且 WebView 启用了 JavaScript 影响范围 受影响平台: Android 分享流程 iOS 分享扩展流程 POC 代码 攻击页面(Web Share API) 漏洞代码片段 存在问题的 HTML 构造 ( ): 调用点: 元数据来源: innerHTML 渲染 ( ): WebView 危险配置 ( ): 修复方案 升级至版本 >= 3.3.17 修复措施应包括: 对 参数进行 HTML 转义处理后再拼接 或使用安全的 DOM 操作方法替代 考虑使用 DOMPurify 等库净化用户输入