Krytyczna luka w SiYuan przed wersją 3.7.0 umożliwiająca wykonanie kodu przez wstrzyknięcie HTML
Krytyczna luka w SiYuan przed 3.7.0 pozwala na wykonanie kodu przez wstrzyknięcie HTML. Zalecana natychmiastowa aktualizacja do wersji 3.7.0.
- CVSS
- 9.4 CRITICAL
- EPSS
- 39.67%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W systemie zarządzania wiedzą SiYuan (wersje przed 3.7.0) wykryto krytyczną lukę pozwalającą na wykonanie kodu Node.js poprzez wstrzyknięcie nieprzefiltrowanego HTML w nazwach widoków atrybutów. Problem wynika z braku odpowiedniego filtrowania danych w interfejsie użytkownika oraz niebezpiecznych ustawień Electron.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.4) może pozwolić atakującemu na zdalne wykonanie kodu w środowisku aplikacji SiYuan, co zagraża integralności i bezpieczeństwu danych. Operatorzy systemów korzystających z tej aplikacji powinni traktować tę podatność jako krytyczną, zwłaszcza w środowiskach z dostępem sieciowym.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie SiYuan do wersji 3.7.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do aplikacji, monitorować logi pod kątem podejrzanej aktywności oraz przeglądnąć konfigurację Electron pod kątem bezpiecznych ustawień (wyłączenie nodeIntegration, włączenie contextIsolation i webSecurity).