CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32940

Critical
Published: Translated: NVD NIST

Summary

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i starszych, SanitizeSVG ma niekompletną listę blokowania, co pozwala na wykonanie JavaScriptu poprzez SVG z wykorzystaniem nieodpowiednio zablokowanych typów MIME.

Risk Assessment

Atakujący może wykorzystać tę podatność do przeprowadzenia ataku XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wymaga to jednak bezpośredniego dostępu do złośliwego URL lub osadzenia w tagach <object>/<embed>.

Recommendation

Zaleca się aktualizację do wersji 3.6.1, która naprawia tę podatność. Należy również rozważyć dodatkowe środki zabezpieczające, takie jak wprowadzenie bardziej restrykcyjnych zasad sanitizacji danych wejściowych.

Original NVD description (English source)

SiYuan is a personal knowledge management system. In versions 3.6.0 and below, SanitizeSVG has an incomplete blocklist — it blocks data:text/html and data:image/svg+xml in href attributes but misses data:text/xml and data:application/xml, both of which can render SVG with JavaScript execution. The unauthenticated /api/icon/getDynamicIcon endpoint serves user-controlled input (via the content parameter) directly into SVG markup using fmt.Sprintf with no escaping, served as Content-Type: image/svg+xml. This creates a click-through XSS: a victim navigates to a crafted URL, sees an SVG with an injected link, and clicking it triggers JavaScript via the bypassed MIME types. The attack requires direct navigation to the endpoint or <object>/<embed> embedding, since <img> tag rendering in the frontend doesn't allow interactive links. This issue has been fixed in version 3.6.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS