CVE-2026-31809

Nome do Software Vulnerável e Versões Afetadas Versões do SiYuan anteriores à 3.5.10

Descrição O SiYuan é um sistema de gerenciamento de conhecimento pessoal suscetível a uma vulnerabilidade de cross-site scripting (XSS) refletido. O sanitizador de SVG, SanitizeSVG, não verifica adequadamente os atributos href em busca do prefixo 'javascript:'. Especificamente, o uso dos caracteres de tabulação ASCII ( ), nova linha ( ) ou retorno de carro ( ) dentro da string 'javascript:' contorna a verificação do prefixo. Isso permite a injeção de código JavaScript executável. O endpoint de API vulnerável é /api/icon/getDynamicIcon, e o problema origina-se da sanitização insuficiente da entrada fornecida ao atributo href. Este é um segundo contorno de uma correção anterior.

Recomendações Atualize o SiYuan para a versão 3.5.10 ou posterior.