Критична вразливість виконання коду в SiYuan до версії 3.7.0
Вразливість CVE-2026-44670 у SiYuan дозволяє виконувати довільний код через HTML-ін'єкцію. Оновіть до версії 3.7.0 для захисту.
- CVSS
- 9.4 CRITICAL
- EPSS
- 39.67%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У SiYuan, системі управління особистими знаннями, до версії 3.7.0 існувала критична вразливість, що дозволяє виконувати довільний код через HTML-ін'єкцію в іменах Attribute View. Це стало можливим через відсутність екранування HTML у назвах, які потім вставляються у веб-інтерфейс з небезпечними налаштуваннями Electron.
Бізнес-вплив
Для власників інфраструктури, що використовує SiYuan, ця вразливість може призвести до повного компрометації системи через виконання шкідливого коду на клієнтських машинах. Зловмисники можуть отримати контроль над додатком і потенційно над операційною системою, що створює серйозні ризики для безпеки даних і стабільності бізнес-процесів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити SiYuan до версії 3.7.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до додатку, перевірити журнали на ознаки експлуатації, знизити рівень довіри до вхідних даних і розглянути можливість ізоляції середовища виконання. Важливо також переглянути налаштування Electron для підвищення безпеки.