CVE-2026-55570
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą, który przed wersją 3.7.0 nie uciekał niezaufanych pól (nazwa, wersja, autor, opis) podczas serializacji do atrybutu HTML data-obj każdego karty rynkowej. W wyniku tego, pakiet zawierający pojedynczy cudzysłów mógł wstrzyknąć dowolny kod HTML, co prowadziło do eskalacji z DOM XSS do wykonania dowolnych poleceń systemowych.
Ocena ryzyka
Organizacje mogą być narażone na ataki, które umożliwiają zdalne wykonanie poleceń na systemach użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację SiYuan do wersji 3.7.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed wstrzyknięciami kodu.
Oryginalny opis (angielski, źródło NVD)
SiYuan is an open-source personal knowledge management system. Prior to 3.7.0, it does not escape the untrusted fields (name, version, author, description) when they are serialized into the data-obj HTML attribute of each marketplace card. Because the attribute is single-quoted and the value is produced with JSON.stringify() (which does not escape ', <, or >), a package whose name contains a single quote breaks out of the attribute and injects arbitrary HTML. In the desktop client the main BrowserWindow runs with nodeIntegration: true, contextIsolation: false, so the injected markup escalates from DOM XSS to arbitrary OS command execution. This is the same root cause and same impact as the original advisory, reached through a sibling sink the patch did not cover. This vulnerability is fixed in 3.7.0.

