CVE-2026-23645

Nome do Software Vulnerável e Versões Afetadas Versões do SiYuan anteriores à 3.5.4-dev2

Descrição O SiYuan Note não sanitiza adequadamente os arquivos SVG carregados. Isso permite que um usuário carregue um arquivo SVG malicioso, como um obtido de uma fonte não confiável, que pode então executar código JavaScript arbitrário dentro da sessão autenticada do usuário quando visualizado. A aplicação permite que usuários autenticados carreguem arquivos, incluindo imagens .svg, sem remover o código JavaScript potencialmente prejudicial incorporado neles. A vulnerabilidade é acionada quando um usuário exporta o arquivo SVG malicioso, fazendo com que o JavaScript incorporado seja executado em seu navegador.

Recomendações Atualize o SiYuan para a versão 3.5.4-dev2 ou posterior.