SiYuan — это система управления персональными знаниями. До версии 3.5.10 средство очистки SVG от SiYuan (SanitizeSVG) блокировало опасные элементы (<script>, <iframe>, <foreignobject>) и удаляло обработчики событий on* и javascript: в атрибутах href. Однако он НЕ блокирует элементы анимации SVG (<animate>, <set>), которые могут динамически устанавливать опасные значения атрибутам во время выполнения, минуя статическую очистку.
Это позволяет злоумышленнику внедрить исполняемый код JavaScript в неаутентифицированную конечную точку /api/icon/getDynamicIcon (тип = 8), создавая отраженный XSS. Это обход исправления CVE-2026-29183 (исправлено в версии 3.5.9). Эта уязвимость исправлена в версии 3.5.10.
Показать оригинальное описание (EN)
SiYuan is a personal knowledge management system. Prior to 3.5.10, SiYuan's SVG sanitizer (SanitizeSVG) blocks dangerous elements (<script>, <iframe>, <foreignobject>) and removes on* event handlers and javascript: in href attributes. However, it does NOT block SVG animation elements (<animate>, <set>) which can dynamically set attributes to dangerous values at runtime, bypassing the static sanitization. This allows an attacker to inject executable JavaScript into the unauthenticated /api/icon/getDynamicIcon endpoint (type=8), creating a reflected XSS. This is a bypass of the fix for CVE-2026-29183 (fixed in v3.5.9). This vulnerability is fixed in v3.5.10.
Характеристики атаки
Последствия
Строка CVSS v4.0