UNKNOWNCVE-2026-34605
CVE-2026-34605: SiYuan Kernel SVG XSS绕过漏洞 (CVSS 7.5)
平台
go
组件
github.com/siyuan-note/siyuan/kernel
已修复版本
0.0.0-20260330031106-f09953afc57a
CVE-2026-34605是SiYuan Kernel中的一个XSS漏洞。在v3.6.0中引入的`SanitizeSVG`函数旨在修复未经身份验证的`/api/icon/getDynamicIcon`端点中的XSS,但可以通过使用命名空间前缀的元素名称(例如`<x:script xmlns:x="http://www.w3.org/2000/svg">`)来绕过。Go HTML5解析器将元素的标签记录为`"x:script"`而不是`"script"`,因此标签检查会将其传递。SVG以`Content-Type: image/svg+xml`提供,没有内容安全策略;当浏览器直接打开响应时,其XML解析器将前缀解析为SVG命名空间并执行嵌入的脚本。此问题已在0.0.0-20260330031106-f09953afc57a版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34605是什么?
CVE-2026-34605是SiYuan Kernel中一个允许通过SVG绕过XSS防御的漏洞。
我是否受到CVE-2026-34605的影响?
如果您使用的SiYuan Kernel版本早于0.0.0-20260330031106-f09953afc57a,您可能会受到此漏洞的影响。
如何修复CVE-2026-34605?
将SiYuan Kernel升级到0.0.0-20260330031106-f09953afc57a或更高版本可以修复此漏洞。