CVE-2023-50643
https://notcve.org/view.php?id=CVE-2023-50643
An issue in Evernote Evernote for MacOS v.10.68.2 allows a remote attacker to execute arbitrary code via the RunAsNode and enableNodeClilnspectArguments components. Un problema en Evernote Evernote para MacOS v.10.68.2 permite a un atacante remoto ejecutar código arbitrario a través de los componentes RunAsNode y enableNodeClilnspectArguments. • https://github.com/giovannipajeu1/CVE-2023-50643 http://evernote.com https://github.com/V3x0r/CVE-2023-50643 https://www.electronjs.org/blog/statement-run-as-node-cves •
CVE-2020-17759
https://notcve.org/view.php?id=CVE-2020-17759
An issue was found in the Evernote client for Windows 10, 7, and 2008 in the protocol handler. This enables attackers for arbitrary command execution if the user clicks on a specially crafted URL. AKA: WINNOTE-19941. Se encontró un problema en el cliente de Evernote para Windows versiones 10, 7 y 2008 en el manejador de protocolo. Esto permite a atacantes una ejecución de comandos arbitrarios si el usuario hace clic en una URL especialmente diseñada. • https://evernote.com/intl/zh-cn/security/updates • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVE-2018-19658
https://notcve.org/view.php?id=CVE-2018-19658
The Markdown editor in YXBJ before 8.3.2 on macOS has stored XSS. This behavior may be encountered by some Evernote users; however, it is a vulnerability in YXBJ, not a vulnerability in Evernote. El editor de Markdown en YXBJ en versiones anteriores a la 8.3.2 en macOS ha almacenado XSS. Este comportamiento puede ser encontrado por algunos usuarios de Evernote; sin embargo, es una vulnerabilidad en YXBJ, no una vulnerabilidad en Evernote. • https://yinxiang.com/security/updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-17051
https://notcve.org/view.php?id=CVE-2019-17051
Evernote before 7.13 GA on macOS allows code execution because the com.apple.quarantine attribute is not used for attachment files, as demonstrated by a one-click attack involving a drag-and-drop operation on a crafted Terminal file. Evernote versiones anteriores a 7.13 GA en macOS, permite la ejecución de código porque el atributo com.apple.quarantine no se utiliza para archivos adjuntos, como es demostrado por un ataque de un clic que implica una operación de arrastrar y soltar en un archivo Terminal creado. • https://evernote.com/security/updates#MACOSNOTE-28956 https://www.youtube.com/watch?v=OG2tKlZX5bg • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2019-12592
https://notcve.org/view.php?id=CVE-2019-12592
A universal Cross-site scripting (UXSS) vulnerability in the Evernote Web Clipper extension before 7.11.1 for Chrome allows remote attackers to run arbitrary web script or HTML in the context of any loaded 3rd-party IFrame. Existe una vulnerabilidad de tipo universal Cross-site scripting (UXSS) en la Evernote Web Clipper extensión anterior 7.11.1 para Chrome permite a los atacantes remotos ejecutar script web o HTML arbitrarios en el contexto de cualquier IFrame de tercero cargado • https://www.cyberscoop.com/evernote-patches-flaw-google-chrome-extension https://www.techrepublic.com/article/evernote-chrome-extension-vulnerability-allowed-attackers-to-steal-4-7m-users-data • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •