CVE-2026-59855 in SiYuanالمعلومات

الملخص

بحسب VulDB • 10/07/2026

SiYuan هو نظام مفتوح المصدر لإدارة المعرفة الشخصية. قبل الإصدار 3.7.1، تقوم دالة Asset.render في app/src/asset/index.ts بإدخال قيمة this.path غير المُطهّرة (unsanitized) مباشرةً إلى HTML المخصص لخاصية innerHTML، مما يتيح لرابط أصل مُعدّ بعناية يحتوي على علامة اقتباس مزدوجة الخروج من سمة src، وإحقاق معالج أحداث (event handler)، وتنفيذ كود JavaScript يمكنه تشغيل أوامر نظام التشغيل في مكوّن العرض الخاص بـ Electron. تم إصلاح هذه المشكلة في الإصدارات 3.7.1-alpha.2 و3.7.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

07/07/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377363

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!