CVE-2026-39846 in SiYuaninformazioni

Riassunto

di VulDB • 19/06/2026

SiYuan è un sistema di gestione della conoscenza personale. Prima della versione 3.6.4, una nota malevola sincronizzata con un altro utente può causare l'esecuzione remota di codice (RCE) nel client desktop Electron di SiYuan. La causa radice risiede nel fatto che il contenuto delle didascalie delle tabelle viene memorizzato senza opportuni meccanismi di escape sicuro e successivamente de-escaped in HTML renderizzato, creando un punto di ingresso per Stored XSS. Poiché il renderer del client desktop è eseguito con nodeIntegration abilitato e contextIsolation disabilitata, il JavaScript controllato dall'attaccante può essere eseguito accedendo alle API di Node.js. In pratica, un attaccante può importare una nota costruita ad hoc in uno spazio di lavoro sincronizzato, attendere che la vittima effettui la sincronizzazione ed eseguire codice quando la vittima apre la nota. Questa vulnerabilità è stata risolta nella versione 3.6.4.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

07/04/2026

Divulgazione

08/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00538

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!