CVE-2026-29183

Nome do Software Vulnerável e Versões Afetadas Versões do SiYuan anteriores à 3.5.9

Descrição O SiYuan, um sistema de gerenciamento de conhecimento pessoal, contém uma vulnerabilidade de cross-site scripting (XSS) refletido no endpoint da API de ícones dinâmicos. A vulnerabilidade ocorre quando o parâmetro type é definido como 8, permitindo que conteúdo controlado pelo atacante seja incorporado à saída SVG sem o devido escapamento. Como o endpoint da API ''GET /api/icon/getDynamicIcon'' não requer autenticação e retorna image/svg+xml, uma URL manipulada pode injetar manipuladores de eventos SVG/HTML executáveis, como onerror, e executar JavaScript dentro da origem web do SiYuan. Isso pode potencialmente levar à execução de ações de API autenticadas e à exfiltração de dados sensíveis se um usuário logado abrir o link malicioso. O problema decorre da construção insegura de saída e sanitização incompleta, especificamente a injeção direta da variável content em elementos SVG sem o escapamento XML/HTML adequado. O sanitizador existente apenas remove tags <script>, mas não aborda atributos perigosos ou elementos inseguros.

Recomendações Versões anteriores à 3.5.9 devem ser atualizadas para a versão 3.5.9 ou posterior.