CVE-2026-31807

Nome do Software Vulnerável e Versões Afetadas Versões do SiYuan anteriores à 3.5.10

Descrição O SiYuan é um sistema de gerenciamento de conhecimento pessoal. O sanitizador de SVG (SanitizeSVG) em versões anteriores à 3.5.10 não bloqueia elementos de animação SVG (, ), permitindo que invasores definam dinamicamente atributos para valores perigosos em tempo de execução, contornando a sanitização estática. Isso permite a injeção de JavaScript executável no endpoint não autenticado /api/icon/getDynamicIcon (type=8), resultando em uma condição de Cross-Site Scripting (XSS) refletido. Trata-se de um contorno de uma correção anterior. O parâmetro vulnerável é type.

Recomendações Atualize para a versão 3.5.10 ou posterior.