Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corrigido em
3.6.1
0.0.0-20260330031106-f09953afc57a
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no kernel do Siyuan, especificamente na função SanitizeSVG introduzida na versão v3.6.0. Essa falha permite que atacantes contornem a sanitização de SVG, injetando scripts maliciosos. A vulnerabilidade afeta versões anteriores a 0.0.0-20260330031106-f09953afc57a e foi publicada em 2026-04-01. Uma correção foi lançada para resolver o problema.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos em páginas visualizadas por usuários do Siyuan. Ao utilizar nomes de elementos com prefixo de namespace, como <x:script xmlns:x="http://www.w3.org/2000/svg">, o atacante consegue contornar a verificação de tags e executar código arbitrário no contexto do navegador do usuário. Isso pode levar ao roubo de informações sensíveis, como credenciais de login, ou à manipulação do comportamento da aplicação. A ausência de uma política de segurança de conteúdo (CSP) agrava o impacto, permitindo que o script malicioso seja executado sem restrições.
A vulnerabilidade foi divulgada em 2026-04-01. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS. Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado ou campanhas de exploração ativas. A vulnerabilidade reside na forma como o parser XML do Siyuan lida com elementos SVG com prefixos de namespace.
Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.
• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.
journalctl -f | grep 'SanitizeSVG' | grep '<x:'• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.
grep '<x:script' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o Siyuan Kernel para a versão 0.0.0-20260330031106-f09953afc57a ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a configuração de uma política de segurança de conteúdo (CSP) para restringir a execução de scripts de fontes não confiáveis. Monitore os logs do Siyuan em busca de atividades suspeitas, como requisições para endpoints relacionados ao processamento de SVG com payloads incomuns. Após a atualização, verifique se a função SanitizeSVG está funcionando corretamente, testando a inserção de elementos SVG com prefixos de namespace.
Atualize SiYuan para a versão 3.6.2 ou posterior. Esta versão corrige a vulnerabilidade XSS refletida na função SanitizeSVG.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34605 is a cross-site scripting (XSS) vulnerability in Siyuan Kernel where namespace-prefixed SVG elements bypass sanitization, allowing script execution.
You are affected if you are using Siyuan Kernel versions prior to 0.0.0-20260330031106-f09953afc57a. Upgrade to the latest version to mitigate the risk.
Upgrade Siyuan Kernel to version 0.0.0-20260330031106-f09953afc57a or later. Consider implementing a Content Security Policy (CSP) as an additional precaution.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited in the future.
Refer to the Siyuan project's official security advisories and release notes for details on this vulnerability and the corresponding fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.