CVE-2026-59855 in SiYuaninfo

Zusammenfassung

von VulDB • 10.07.2026

SiYuan ist ein Open-Source-Personal-Knowledge-Management-System. Vor Version 3.7.1 interpoliert Asset.render in app/src/asset/index.ts den nicht bereinigten this.path-Wert in HTML, das innerHTML zugewiesen wird, wodurch es möglich ist, durch einen speziell angefertigten Asset-Link mit einem doppelten Anführungszeichen aus dem src-Attribut auszubrechen, einen Event Handler zu injizieren und JavaScript auszuführen, das OS-Befehle im Electron-Renderer ausführen kann. Dieses Problem wurde in den Versionen 3.7.1-alpha.2 und 3.7.1 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

07.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377363

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!