UNKNOWNCVE-2026-34585
CVE-2026-34585: SiYuan Kernel 存储型XSS漏洞 (CVSS 8.6)
平台
go
组件
github.com/siyuan-note/siyuan/kernel
已修复版本
0.0.0-20260329142331-918d1bd9f967
CVE-2026-34585是SiYuan Kernel中的一个漏洞,允许精心设计的块属性值绕过服务器端的属性转义,当HTML实体与原始特殊字符混合时。攻击者可以将恶意IAL值嵌入到`.sy`文档中,将其打包为`.sy.zip`,并让受害者通过正常的“导入 -> SiYuan .sy.zip”工作流程导入它。一旦笔记被打开,恶意属性就会突破其原始HTML上下文并注入事件处理程序,从而导致存储的XSS。在Electron桌面客户端中,此XSS达到远程代码执行,因为注入的JavaScript以权限运行。此问题已在0.0.0-20260329142331-918d1bd9f967版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34585是什么?
CVE-2026-34585是SiYuan Kernel中的一个存储型XSS漏洞,可能导致远程代码执行。
我是否受到CVE-2026-34585的影响?
如果您使用的SiYuan Kernel版本早于0.0.0-20260329142331-918d1bd9f967,您可能会受到此漏洞的影响。
如何修复CVE-2026-34585?
将SiYuan Kernel升级到0.0.0-20260329142331-918d1bd9f967或更高版本可以修复此漏洞。