Abdoghazy2015

**Nome do Software Vulnerável e Versões Afetadas** Versões do SiYuan anteriores à 3.5.4 **Descrição** A funcionalidade de markdown no SiYuan permite renderização de HTML no lado do servidor sem restrições, o que pode levar à leitura arbitrária de arquivos (LFD) e Falsificação de Solicitação do Lado do Servidor (SSRF). Este problema ocorre porque o parâmetro `markdown` é passado para a função `model.CreateWithMarkdown` sem a devida sanitização. A entrada é então passada para `luteEngine.Md2BlockDOM(md, false)` também sem sanitização. Um atacante pode explorar isso para ler arquivos sensíveis do sistema e potencialmente acessar hosts internos via SSRF. Um exploit de prova de conceito (PoC) está disponível. **Recomendações** Atualize o SiYuan para a versão 3.5.4 ou posterior.