CVE-2026-23847

Nome do Software Vulnerável e Versões Afetadas Versões do SiYuan anteriores à 3.5.4

Descrição O SiYuan é um sistema de gerenciamento de conhecimento pessoal suscetível a cross-site scripting refletido. O problema ocorre no endpoint da API /api/icon/getDynamicIcon. O endpoint gera imagens SVG para ícones de texto (type=8), e o parâmetro content é inserido diretamente na tag <text> do SVG sem o devido escape de XML. Como o Content-Type da resposta está definido como image/svg+xml, a injeção de tags sem escape pode comprometer a estrutura XML e permitir a execução de JavaScript.

Recomendações Atualize para a versão 3.5.4 ou posterior.