CVE-2026-34605: SiYuan XSS Bypass in SVG Icon Endpoint
Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
0.0.0-20260330031106-f09953afc57a
CVE-2026-34605 is een XSS kwetsbaarheid in SiYuan's `/api/icon/getDynamicIcon` endpoint. De `SanitizeSVG` functie, geïntroduceerd in v3.6.0 om XSS te voorkomen, kan worden omzeild door namespace-prefixed element namen te gebruiken, zoals `<x:script xmlns:x="http://www.w3.org/2000/svg">`. De Go HTML5 parser registreert de tag als `"x:script"` waardoor de tag check wordt gepasseerd. De kwetsbaarheid is verholpen in versie 0.0.0-20260330031106-f09953afc57a.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-34605?
CVE-2026-34605 is een XSS kwetsbaarheid in SiYuan's SVG icon endpoint die kan worden omzeild met namespace prefixes.
Ben ik getroffen door CVE-2026-34605?
U bent getroffen als u een SiYuan versie gebruikt die kwetsbaar is voor XSS via het SVG icon endpoint.
Hoe kan ik CVE-2026-34605 verhelpen?
U kunt de kwetsbaarheid verhelpen door te updaten naar SiYuan versie 0.0.0-20260330031106-f09953afc57a of hoger.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen