CVE-2026-44670

Nome do Software Vulnerável e Versões Afetadas SiYuan versões anteriores a 3.7.0

Descrição O software não realiza a filtragem (escape) de HTML ao armazenar e renderizar nomes de Visualizações de Atributos (AV). O kernel armazena esses nomes sem escape e utiliza uma substituição de string bruta para incorporá-los em HTML antes de enviá-los aos clientes via WebSocket. Isso permite a injeção de HTML através de três caminhos no cliente: render.ts (via outerHTML), Title.ts (via innerHTML) e transaction.ts (via innerHTML).

Como o BrowserWindow principal é configurado com nodeIntegration: true, contextIsolation: false e webSecurity: false, essa injeção de HTML pode ser escalada para a execução de código Node.js (RCE) no desktop da vítima. O payload é persistente, pois é armazenado em disco, replicado por transportes de sincronização (S3, WebDAV, nuvem) e sobrevive a processos de exportação e importação. Ele pode ser acionado por qualquer função de usuário que abra um documento vinculado à AV afetada.

Detalhes técnicos incluem o uso do endpoint /api/transactions com a ação setAttrViewName para implantar o payload. A vulnerabilidade é acessível via requisições de origem local, incluindo aquelas de origens chrome-extension:// permitidas, permitindo que extensões de navegador maliciosas executem o ataque.

Recomendações Atualize para a versão 3.7.0. Como mitigação temporária, restrinja o acesso ao endpoint /api/transactions ou evite importar arquivos .sy.zip de fontes não confiáveis.