CVE-2026-39846
KrytyczneStreszczenie
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.4 złośliwa notatka zsynchronizowana z innym użytkownikiem może wywołać zdalne wykonanie kodu w kliencie desktopowym SiYuan Electron, z powodu braku bezpiecznego escapowania treści nagłówków tabeli.
Ocena ryzyka
Zagrożenie dla organizacji polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad systemem ofiary oraz dostępu do wrażliwych danych.
Rekomendacja
Zaleca się aktualizację do wersji 3.6.4 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków bezpieczeństwa, takich jak monitorowanie synchronizacji notatek.
Oryginalny opis (angielski, źródło NVD)
SiYuan is a personal knowledge management system. Prior to 3.6.4, a malicious note synced to another user can trigger remote code execution in the SiYuan Electron desktop client. The root cause is that table caption content is stored without safe escaping and later unescaped into rendered HTML, creating a stored XSS sink. Because the desktop renderer runs with nodeIntegration enabled and contextIsolation disabled, attacker-controlled JavaScript executes with access to Node.js APIs. In practice, an attacker can import a crafted note into a synced workspace, wait for the victim to sync, and achieve code execution when the victim opens the note. This vulnerability is fixed in 3.6.4.

