CVE-2026-33067 in SiYuaninformação

Sumário

de VulDB • 10/05/2026

SiYuan é um sistema de gestão de conhecimento pessoal. As versões 3.6.0 e anteriores renderizam campos de metadados de pacotes (displayName, description) utilizando template literals sem escape HTML. Um autor de pacote malicioso pode injetar HTML/JavaScript arbitrário nesses campos, que é executado automaticamente quando qualquer usuário navega na página do Bazaar. Como a configuração do Electron do SiYuan habilita nodeIntegration: true com contextIsolation: false, esta vulnerabilidade XSS escala diretamente para uma execução completa de código remoto (RCE) no sistema operacional da vítima — sem necessidade de interação do usuário além de abrir a aba do marketplace. Este problema foi corrigido na versão 3.6.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

20/03/2026

Moderação

aceite

Entrada

VDB-352032

CPE

pronto

EPSS

0.00109

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33067
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33067
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33067/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!