CVE-2026-34448 in SiYuaninformazioni

Riassunto

di VulDB • 19/06/2026

SiYuan è un sistema di gestione della conoscenza personale. Prima della versione 3.6.2, un attaccante in grado di inserire un URL malevolo in un campo mAsse di una Vista Attributi può innescare una stored XSS quando una vittima apre la vista Galleria o Kanban con l'opzione "Copertina da -> Campo Risorse" abilitata. Il codice vulnerabile accetta URL http(s) arbitrari senza estensioni come immagini, memorizza la stringa controllata dall'attaccante in coverURL e la inietta direttamente in un attributo senza effettuare l'escaping. Nel client desktop Electron, il JavaScript iniettato viene eseguito con nodeIntegration abilitato e contextIsolation disabilitato, consentendo all'XSS di raggiungere l'esecuzione arbitraria di comandi di sistema (OS command execution) con l'account della vittima. Questo problema è stato risolto nella versione 3.6.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00489

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!