CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-29183

Critical
Published: Translated: NVD NIST

Summary

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.

Risk Assessment

Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście przeglądarki użytkownika, co umożliwia atakującemu przeprowadzanie autoryzowanych działań API oraz wykradanie wrażliwych danych, gdy zalogowany użytkownik otworzy złośliwy link.

Recommendation

Zaleca się aktualizację do wersji 3.5.9, w której problem został naprawiony, aby zabezpieczyć system przed tym rodzajem ataku.

Original NVD description (English source)

SiYuan is a personal knowledge management system. Prior to version 3.5.9, an unauthenticated reflected XSS vulnerability exists in the dynamic icon API endpoint "GET /api/icon/getDynamicIcon" when type=8, attacker-controlled content is embedded into SVG output without escaping. Because the endpoint is unauthenticated and returns image/svg+xml, a crafted URL can inject executable SVG/HTML event handlers (for example onerror) and run JavaScript in the SiYuan web origin. This can be chained to perform authenticated API actions and exfiltrate sensitive data when a logged-in user opens the malicious link. This issue has been patched in version 3.5.9.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS