Katalog CVE

CVE-2026-32940

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i starszych, SanitizeSVG ma niekompletną listę blokowania, co pozwala na wykonanie JavaScriptu poprzez SVG z wykorzystaniem nieodpowiednio zablokowanych typów MIME.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przeprowadzenia ataku XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wymaga to jednak bezpośredniego dostępu do złośliwego URL lub osadzenia w tagach <object>/<embed>.

Rekomendacja

Zaleca się aktualizację do wersji 3.6.1, która naprawia tę podatność. Należy również rozważyć dodatkowe środki zabezpieczające, takie jak wprowadzenie bardziej restrykcyjnych zasad sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

SiYuan is a personal knowledge management system. In versions 3.6.0 and below, SanitizeSVG has an incomplete blocklist — it blocks data:text/html and data:image/svg+xml in href attributes but misses data:text/xml and data:application/xml, both of which can render SVG with JavaScript execution. The unauthenticated /api/icon/getDynamicIcon endpoint serves user-controlled input (via the content parameter) directly into SVG markup using fmt.Sprintf with no escaping, served as Content-Type: image/svg+xml. This creates a click-through XSS: a victim navigates to a crafted URL, sees an SVG with an injected link, and clicking it triggers JavaScript via the bypassed MIME types. The attack requires direct navigation to the endpoint or <object>/<embed> embedding, since <img> tag rendering in the frontend doesn't allow interactive links. This issue has been fixed in version 3.6.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS