CVE-2026-45375

Nome do Software Vulnerável e Versões Afetadas SiYuan versões anteriores a 0.0.0-20260421031503-96dfe0bea474

Descrição Um problema de cross-site scripting (XSS) armazenado existe no marketplace Bazaar. A aplicação não sanitiza os campos name e version nos arquivos de metadados de pacotes (como plugin.json, theme.json, template.json, widget.json e icon.json). Esses campos não sanitizados são renderizados diretamente na interface do Marketplace através da propriedade innerHTML no arquivo app/src/config/bazaar.ts, especificamente por meio de variáveis como preferredName, name e version.

No cliente desktop, isso é escalado para a execução de comandos arbitrários do sistema operacional porque o renderizador Electron está configurado com nodeIntegration: true, contextIsolation: false e webSecurity: false. Isso permite que um invasor use APIs do Node.js, como require('child process').exec(), para executar comandos na conta da vítima. O ataque é zero-click, sendo acionado assim que o usuário abre a aba do Marketplace (Configurações → Marketplace → Downloaded → Plugins), sem a necessidade de instalar qualquer pacote.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.