CVE-2026-34585: SiYuan XSS Kwetsbaarheid Leidt tot RCE
Platform
go
Component
github.com/siyuan-note/siyuan/kernel
Opgelost in
0.0.0-20260329142331-918d1bd9f967
CVE-2026-34585 is een XSS kwetsbaarheid in SiYuan die kan leiden tot remote code execution (RCE). Een aanvaller kan een kwaadaardige IAL waarde in een `.sy` document embedden, dit verpakken als een `.sy.zip` bestand, en het slachtoffer dit laten importeren. Wanneer de notitie wordt geopend, injecteert de kwaadaardige code een event handler, wat resulteert in stored XSS. In de Electron desktop client kan deze XSS leiden tot RCE. De kwetsbaarheid is verholpen in versie 0.0.0-20260329142331-918d1bd9f967.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-34585?
CVE-2026-34585 is een XSS kwetsbaarheid in SiYuan die kan leiden tot remote code execution (RCE).
Ben ik getroffen door CVE-2026-34585?
U bent getroffen als u een SiYuan versie gebruikt die kwetsbaar is voor XSS via .sy.zip bestanden.
Hoe kan ik CVE-2026-34585 verhelpen?
U kunt de kwetsbaarheid verhelpen door te updaten naar SiYuan versie 0.0.0-20260329142331-918d1bd9f967 of hoger.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen