Katalog CVE

CVE-2026-29183

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście przeglądarki użytkownika, co umożliwia atakującemu przeprowadzanie autoryzowanych działań API oraz wykradanie wrażliwych danych, gdy zalogowany użytkownik otworzy złośliwy link.

Rekomendacja

Zaleca się aktualizację do wersji 3.5.9, w której problem został naprawiony, aby zabezpieczyć system przed tym rodzajem ataku.

Oryginalny opis (angielski, źródło NVD)

SiYuan is a personal knowledge management system. Prior to version 3.5.9, an unauthenticated reflected XSS vulnerability exists in the dynamic icon API endpoint "GET /api/icon/getDynamicIcon" when type=8, attacker-controlled content is embedded into SVG output without escaping. Because the endpoint is unauthenticated and returns image/svg+xml, a crafted URL can inject executable SVG/HTML event handlers (for example onerror) and run JavaScript in the SiYuan web origin. This can be chained to perform authenticated API actions and exfiltrate sensitive data when a logged-in user opens the malicious link. This issue has been patched in version 3.5.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS