Plattform
go
Komponente
github.com/siyuan-note/siyuan/kernel
Behoben in
3.6.1
0.0.0-20260330031106-f09953afc57a
CVE-2026-34605 describes a cross-site scripting (XSS) vulnerability affecting the siyuan-note/siyuan kernel component. This flaw allows attackers to bypass the SanitizeSVG function, introduced to prevent XSS in the /api/icon/getDynamicIcon endpoint, by using namespace-prefixed element names within SVG files, leading to arbitrary script execution. This affects versions up to and including 3.6.0. The vulnerability is fixed in version 0.0.0-20260330031106-f09953afc57a.
CVE-2026-34605 in Siuan betrifft die Funktion SanitizeSVG, die in Version 3.6.0 eingeführt wurde, um eine XSS-Schwachstelle im nicht authentifizierten /api/icon/getDynamicIcon-Endpunkt zu beheben. Diese Funktion, die dazu dient, die Injektion von bösartigem Code in SVG-Bilder zu verhindern, kann umgangen werden, indem Elementnamen mit Namespace-Präfixen verwendet werden, wie z. B. <x:script xmlns:x="http://www.w3.org/2000/svg">. Der Go HTML5-Parser protokolliert den Elementtag als "x:script" anstatt "script", wodurch der Filter den Tag passieren lässt. Da das SVG mit Content-Type: image/svg+xml und ohne Content Security Policy (CSP) ausgeliefert wird, kann ein Browser, der die Antwort direkt öffnet, das bösartige Skript ausführen und so Code im Kontext des Benutzers ausführen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Anfrage an den /api/icon/getDynamicIcon-Endpunkt sendet, die ein SVG enthält, das ein <x:script>-Element mit bösartigem JavaScript-Code enthält. Wenn der Browser des Benutzers keine geeignete CSP hat, wird das Skript ausgeführt, wodurch der Angreifer sensible Informationen stehlen, den Benutzer auf eine bösartige Website umleiten oder andere bösartige Aktionen im Namen des Benutzers durchführen kann. Das Fehlen einer Authentifizierung am Endpunkt macht die Schwachstelle besonders schwerwiegend, da jeder Benutzer sie ausnutzen kann.
Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.
• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.
journalctl -f | grep 'SanitizeSVG' | grep '<x:'• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.
grep '<x:script' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.13% (32% Perzentil)
CISA SSVC
CVSS-Vektor
Die Behebung für CVE-2026-34605 besteht darin, auf die gepatchte Version von Siuan zu aktualisieren: 0.0.0-20260330031106-f09953afc57a. Diese Version korrigiert die SVG-Sanitierungslogik, um <script>-Elemente unabhängig vom Namespace-Präfix korrekt zu erkennen. Als vorübergehende Maßnahme wird empfohlen, eine strenge Content Security Policy (CSP) zu implementieren, die die Ausführung von Skripten aus nicht vertrauenswürdigen Quellen einschränkt. Es ist auch ratsam, dynamisch generierte Symbole von Siuan auf mögliche Injektionen zu überprüfen und zu prüfen.
Aktualisieren Sie SiYuan auf Version 3.6.2 oder höher. Diese Version behebt die reflektierte (XSS) Schwachstelle in der Funktion (SanitizeSVG).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Codeausführungs-Schwachstelle in Siuan, die es einem Angreifer ermöglicht, bösartige Skripte über SVG-Bilder zu injizieren und auszuführen.
Benutzer könnten betroffen sein, wenn ein Angreifer die Schwachstelle ausnutzt, um Informationen zu stehlen oder bösartige Aktionen in ihrem Namen durchzuführen.
Aktualisieren Sie so schnell wie möglich auf die gepatchte Version (0.0.0-20260330031106-f09953afc57a).
Implementieren Sie eine strenge Content Security Policy (CSP), um die Ausführung von Skripten einzuschränken.
Konsultieren Sie die offizielle Siuan-Ankündigung bezüglich der Schwachstelle und der Upgrade-Anweisungen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.