CVE-2026-31807 in SiYuaninfo

Zusammenfassung

von VulDB • 21.05.2026

SiYuan ist ein System zur persönlichen Wissensverwaltung. Vor Version 3.5.10 blockiert der SVG-Sanitizer (SanitizeSVG) von SiYuan gefährliche Elemente (<script>, <iframe>, <foreignobject>) und entfernt on*-Ereignishandler sowie javascript: in href-Attributen. Allerdings werden SVG-Animationselemente (<animate>, <set>) NICHT blockiert, die zur Laufzeit Attribute dynamisch auf gefährliche Werte setzen können, wodurch die statische Sanitization umgangen wird. Dies ermöglicht es einem Angreifer, ausführbaren JavaScript-Code in den nicht authentifizierten Endpunkt /api/icon/getDynamicIcon (type=8) einzufügen, was zu einem Reflected XSS führt. Dies ist eine Umgehung der Korrektur für CVE-2026-29183 (behebt in v3.5.9). Diese Schwachstelle wurde in v3.5.10 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

09.03.2026

Veröffentlichung

10.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350205

CPE

bereit

EPSS

0.00378

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31807
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31807
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31807/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!