UNKNOWNCVE-2026-34448
CVE-2026-34448:思源笔记XSS漏洞,≤3.6.2版本受影响
平台
go
组件
github.com/siyuan-note/siyuan/kernel
已修复版本
3.6.2
CVE-2026-34448是思源笔记中存在的一个存储型跨站脚本(XSS)漏洞。攻击者可以通过在属性视图的mAsse字段中放置恶意URL,当受害者打开启用了“Cover From -> Asset Field”的Gallery或Kanban视图时,触发XSS攻击。受影响的版本包括小于等于3.6.2的版本。此漏洞已在3.6.2版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34448是什么漏洞?
CVE-2026-34448是思源笔记中的一个存储型跨站脚本(XSS)漏洞,允许攻击者在受害者浏览器中执行恶意脚本。
我是否受到CVE-2026-34448的影响?
如果您使用的思源笔记版本小于等于3.6.2,并且使用了受影响的视图和配置,那么您可能受到此漏洞的影响。
如何修复CVE-2026-34448?
将思源笔记升级到3.6.2或更高版本,该版本已修复此漏洞。