Katalog CVE

CVE-2026-33066

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych funkcja backendowa renderREADME używa lute.New() bez wywołania SetSanitize(true), co pozwala na przejście surowego HTML osadzonego w Markdown bez modyfikacji. W rezultacie złośliwy autor pakietu może osadzić dowolny JavaScript w swoim README, który wykonuje się po kliknięciu przez użytkownika.

Ocena ryzyka

Z powodu konfiguracji Electron w SiYuan, która umożliwia nodeIntegration: true i contextIsolation: false, ta podatność XSS prowadzi do pełnego zdalnego wykonania kodu. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 3.6.1 lub nowszej, aby załatać tę podatność. Dodatkowo, warto rozważyć włączenie kontekstu izolacji oraz dezaktywację integracji z Node.js w aplikacji.

Oryginalny opis (angielski, źródło NVD)

SiYuan is a personal knowledge management system. In versions 3.6.0 and below, the backend renderREADME function uses lute.New() without calling SetSanitize(true), allowing raw HTML embedded in Markdown to pass through unmodified. The frontend then assigns the rendered HTML to innerHTML without any additional sanitization. A malicious package author can embed arbitrary JavaScript in their README that executes when a user clicks to view the package details. Because SiYuan's Electron configuration enables nodeIntegration: true with contextIsolation: false, this XSS escalates directly to full Remote Code Execution. The issue was patched in version 3.6.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS