Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
3.6.1
0.0.0-20260330031106-f09953afc57a
CVE-2026-34605 is een XSS kwetsbaarheid in SiYuan's /api/icon/getDynamicIcon endpoint. De SanitizeSVG functie, geïntroduceerd in v3.6.0 om XSS te voorkomen, kan worden omzeild door namespace-prefixed element namen te gebruiken, zoals <x:script xmlns:x="http://www.w3.org/2000/svg">. De Go HTML5 parser registreert de tag als "x:script" waardoor de tag check wordt gepasseerd. De kwetsbaarheid is verholpen in versie 0.0.0-20260330031106-f09953afc57a.
CVE-2026-34605 in Siuan beïnvloedt de functie SanitizeSVG die geïntroduceerd is in versie 3.6.0 om een XSS-kwetsbaarheid in de niet-geauthenticeerde /api/icon/getDynamicIcon endpoint te verhelpen. Deze functie, ontworpen om het injecteren van kwaadaardige scripts in SVG-afbeeldingen te voorkomen, kan omzeild worden door elementnamen met namespace-prefixen te gebruiken, zoals <x:script xmlns:x="http://www.w3.org/2000/svg">. De Go HTML5 parser registreert de elementtag als "x:script" in plaats van "script", waardoor de filter de tag ongezien laat passeren. Aangezien de SVG wordt geserveerd met Content-Type: image/svg+xml en zonder Content Security Policy (CSP), kan een browser die de reactie direct opent, het kwaadaardige script uitvoeren, waardoor code in de context van de gebruiker kan worden uitgevoerd.
Een aanvaller kan deze kwetsbaarheid exploiteren door een kwaadaardig verzoek naar de /api/icon/getDynamicIcon endpoint te sturen met een SVG dat een <x:script> element bevat met kwaadaardige JavaScript-code. Als de browser van de gebruiker geen geschikte CSP heeft, wordt het script uitgevoerd, waardoor de aanvaller gevoelige informatie kan stelen, de gebruiker naar een kwaadaardige website kan omleiden of andere kwaadaardige acties namens de gebruiker kan uitvoeren. Het ontbreken van authenticatie op het endpoint maakt de kwetsbaarheid bijzonder ernstig, aangezien elke gebruiker deze kan exploiteren.
Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.
• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.
journalctl -f | grep 'SanitizeSVG' | grep '<x:'• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.
grep '<x:script' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34605 is om te updaten naar de gepatchte versie van Siuan: 0.0.0-20260330031106-f09953afc57a. Deze versie corrigeert de SVG-sanitizatie logica om <script> elementen correct te herkennen, ongeacht namespace-prefixen. Als tijdelijke mitigatie wordt het aanbevolen om een strikte Content Security Policy (CSP) te implementeren die de uitvoering van scripts van niet-vertrouwde bronnen beperkt. Het is ook raadzaam om dynamisch gegenereerde iconen door Siuan te beoordelen en te auditeren op mogelijke injecties.
Actualice SiYuan a la versión 3.6.2 o posterior. Esta versión corrige la vulnerabilidad XSS reflejada en la función SanitizeSVG.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een code-uitvoerings kwetsbaarheid in Siuan die een aanvaller in staat stelt kwaadaardige scripts te injecteren en uit te voeren via SVG-afbeeldingen.
Gebruikers kunnen getroffen worden als een aanvaller de kwetsbaarheid exploiteert om informatie te stelen of kwaadaardige acties in hun naam uit te voeren.
Update zo snel mogelijk naar de gepatchte versie (0.0.0-20260330031106-f09953afc57a).
Implementeer een strikte Content Security Policy (CSP) om de uitvoering van scripts te beperken.
Raadpleeg de officiële Siuan aankondiging over de kwetsbaarheid en de upgrade instructies.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.