CVE-2026-45375 in SiYuan
要約
〜によって VulDB • 2026年05月14日
SiYuanはオープンソースのパーソナルナレッジマネジメントシステムです。バージョン3.7.0より前では、SiYuanのBazaar(コミュニティマーケットプレイス)は、パッケージのplugin.json(および同等のtheme.json / template.json / widget.json / icon.json)内の名前とバージョンフィールドを、HTMLエスケープせずに設定 → マーケットプレイスUIにレンダリングします。カーネル側のヘルパー関数sanitizePackageDisplayStrings(kernel/bazaar/package.go)は、Author、DisplayName、DescriptionのみをHTMLエスケープしますが、NameとVersionは生の状態でレンダラーに渡されます。フロントエンド(app/src/config/bazaar.ts)では、これらが${item.preferredName} / ${data.name} / v${data.version}を使用してHTMLテンプレート文字列に挿入され、その結果がinnerHTMLに割り当てられます。その結果、ユーザーがマーケットプレイスタブを開いた際に、これらのフィールドのいずれかに含まれる悪意のあるHTMLが解析および実行されます。この脆弱性は3.7.0で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.