CVE-2026-40922

Name of the Vulnerable Software and Affected Versions SiYuan versões 3.6.1 a 3.6.3

Description Existe um problema na renderização do README do bazaar onde o sanitizador HTML Lute não bloqueia tags iframe e não filtra efetivamente atributos srcdoc que contenham HTML bruto. Um autor malicioso de pacote do bazaar pode incluir um iframe com um atributo srcdoc contendo scripts incorporados em seu README. Quando os usuários visualizam o pacote na interface do marketplace, o payload é executado no contexto do Electron com privilégios totais do aplicativo, permitindo a execução de código arbitrário na máquina do usuário.

Recommendations Atualizar para a versão 3.6.4.