SiYuan 易受 SanitizeSVG 中 SVG 命名空间前缀绕过的反射型 XSS 攻击（getDynamicIcon，未经身份验证）

Siuan 的 CVE-2026-34605 影响了在版本 3.6.0 中引入的 SanitizeSVG 函数，旨在修复非认证 /api/icon/getDynamicIcon 端点中的 XSS 漏洞。 此函数旨在防止将恶意脚本注入到 SVG 图像中，但可以使用带有命名空间前缀的元素名称（例如 <x:script xmlns:x="http://www.w3.org/2000/svg">）来绕过它。 Go 的 HTML5 解析器将元素标签记录为“x:script”而不是“script”，从而允许过滤器在未检测到的情况下让标签通过。 由于 SVG 以 Content-Type: image/svg+xml 提供且没有内容安全策略 (CSP)，因此直接打开响应的浏览器可以执行恶意脚本，从而在用户上下文中执行任意代码。

Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.

• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.

journalctl -f | grep 'SanitizeSVG' | grep '<x:'

• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.

grep '<x:script' /var/log/apache2/access.log

1. 2026-04-01Disclosure

   disclosure

1. 已保留2026-03-30
2. 发布日期2026-04-01
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-08

CVE-2026-34605 的修复方法是更新到 Siuan 的补丁版本：0.0.0-20260330031106-f09953afc57a。 此版本更正了 SVG 消毒逻辑，以便无论命名空间前缀如何，都能正确识别 <script> 元素。 作为一种临时缓解措施，建议实施严格的内容安全策略 (CSP)，该策略限制从不受信任的来源执行脚本。 此外，还建议审查和审核 Siuan 生成的任何动态图标，以查找潜在的注入。