Nelle ultime settimane Notesnook, l’app per prendere appunti con cifratura end-to-end, ha incassato una serie di correzioni di sicurezza più ravvicinata del solito. L’ultima, inclusa nella versione 3.3.15 del client desktop rilasciata il 20 aprile, riguarda una vulnerabilità che permetteva l’esecuzione di codice da remoto tramite uno script malevolo nascosto nel contenuto di una nota.

Il problema nell’esportazione PDF

Il meccanismo sfruttava la funzione di esportazione in PDF: un contenuto appositamente costruito poteva innescare uno XSS persistente durante il rendering, che nell’app desktop, basata su Electron, può tradursi in esecuzione di comandi sul sistema dell’utente. La segnalazione è arrivata in modo responsabile dal ricercatore iiihaiii, e il team ha confermato che non è necessaria nessuna azione oltre all’aggiornamento.

// affiliato ▸ Steady · La tua newsletter, indipendente ed europea · Inizia gratis →

Vale la pena ricordare che si tratta del terzo problema di sicurezza corretto in Notesnook nel giro di poche settimane. In precedenza erano state chiuse una XSS nel visualizzatore cronologia delle note (CVE-2026-33955, risolta nella 3.3.11) e una nella funzione di condivisione mobile (CVE-2026-33976, risolta nella 3.3.17 su Android e iOS). Tutte e tre le falle condividono la stessa radice: contenuto controllato dall’utente reso senza adeguata sanificazione.

Cosa c’è altro nella 3.3.15

L’aggiornamento aggiunge la possibilità di svuotare il cestino direttamente dal menu contestuale nella barra di navigazione, clic destro sul cestino e via. Tra i bug corretti, quello probabilmente più fastidioso riguardava Windows: in alcuni casi, l’app veniva disinstallata automaticamente durante il processo di aggiornamento. Risolto anche un problema con la casella di ricerca PDF non leggibile in modalità scura.

Chi usa Notesnook su desktop dovrebbe aggiornare il prima possibile.