Krytyczna luka w SiYuan przed wersją 3.7.0 umożliwiająca wykonanie kodu przez wstrzyknięcie HTML

Krytyczna luka w SiYuan przed 3.7.0 pozwala na wykonanie kodu przez wstrzyknięcie HTML. Zalecana natychmiastowa aktualizacja do wersji 3.7.0.
CVE-2026-44670CVSS 9.4Linux

Krytyczna luka w SiYuan przed wersją 3.7.0 umożliwiająca wykonanie kodu przez wstrzyknięcie HTML

Krytyczna luka w SiYuan przed 3.7.0 pozwala na wykonanie kodu przez wstrzyknięcie HTML. Zalecana natychmiastowa aktualizacja do wersji 3.7.0.

CVSS
9.4 CRITICAL
EPSS
39.67%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W systemie zarządzania wiedzą SiYuan (wersje przed 3.7.0) wykryto krytyczną lukę pozwalającą na wykonanie kodu Node.js poprzez wstrzyknięcie nieprzefiltrowanego HTML w nazwach widoków atrybutów. Problem wynika z braku odpowiedniego filtrowania danych w interfejsie użytkownika oraz niebezpiecznych ustawień Electron.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.4) może pozwolić atakującemu na zdalne wykonanie kodu w środowisku aplikacji SiYuan, co zagraża integralności i bezpieczeństwu danych. Operatorzy systemów korzystających z tej aplikacji powinni traktować tę podatność jako krytyczną, zwłaszcza w środowiskach z dostępem sieciowym.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie SiYuan do wersji 3.7.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do aplikacji, monitorować logi pod kątem podejrzanej aktywności oraz przeglądnąć konfigurację Electron pod kątem bezpiecznych ustawień (wyłączenie nodeIntegration, włączenie contextIsolation i webSecurity).

Źródła