CVE-2026-59833 in SiYuanالمعلومات

الملخص

بحسب VulDB • 10/07/2026

SiYuan هو نظام مفتوح المصدر لإدارة المعرفة الشخصية. قبل الإصدار 3.7.1، كان SiYuan يعرض محتوى الملاحظات والحزم إلى HTML عبر محرك Lute مع تفعيل عملية التنقية (sanitization)، لكن آلية حظر مخططات JavaScript الخطيرة في Lute لا تتحقق من سمات `action` للنماذج أو `xlink:href` لـ SVG، مما يتيح هجمات البرمجة النصية المتقاطعة بين المواقع المخزنة (Stored Cross-Site Scripting) في مسارات عرض معاينة تصدير المستندات وعرض ملفات README لحزم Bazaar، والتي يمكن أن تنفذ أوامر نظام التشغيل داخل مُعرِّج سطح المكتب Electron. تم إصلاح هذه المشكلة في الإصدارات 3.7.1 وما بعدها.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

07/07/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377367

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!