CVE-2026-33066
CriticalSummary
SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych funkcja backendowa renderREADME używa lute.New() bez wywołania SetSanitize(true), co pozwala na przejście surowego HTML osadzonego w Markdown bez modyfikacji. W rezultacie złośliwy autor pakietu może osadzić dowolny JavaScript w swoim README, który wykonuje się po kliknięciu przez użytkownika.
Risk Assessment
Z powodu konfiguracji Electron w SiYuan, która umożliwia nodeIntegration: true i contextIsolation: false, ta podatność XSS prowadzi do pełnego zdalnego wykonania kodu. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Recommendation
Zaleca się aktualizację do wersji 3.6.1 lub nowszej, aby załatać tę podatność. Dodatkowo, warto rozważyć włączenie kontekstu izolacji oraz dezaktywację integracji z Node.js w aplikacji.
Original NVD description (English source)
SiYuan is a personal knowledge management system. In versions 3.6.0 and below, the backend renderREADME function uses lute.New() without calling SetSanitize(true), allowing raw HTML embedded in Markdown to pass through unmodified. The frontend then assigns the rendered HTML to innerHTML without any additional sanitization. A malicious package author can embed arbitrary JavaScript in their README that executes when a user clicks to view the package details. Because SiYuan's Electron configuration enables nodeIntegration: true with contextIsolation: false, this XSS escalates directly to full Remote Code Execution. The issue was patched in version 3.6.1.

