SiYuan — это система управления персональными знаниями. До версии 3.6.2 злоумышленник, который может разместить вредоносный URL-адрес в поле mAsse представления атрибутов, может активировать сохраненный XSS, когда жертва открывает представление галереи или канбана с включенным параметром «Обложка -> Поле актива». Уязвимый код принимает произвольные URL-адреса http(s) без расширений в виде изображений, сохраняет контролируемую злоумышленником строку в CoverURL и вставляет ее непосредственно в атрибут <img src="..."> без экранирования.
В настольном клиенте Electron внедренный JavaScript выполняется с включенной nodeIntegration и отключенной contextIsolation, поэтому XSS достигает выполнения произвольной команды ОС под учетной записью жертвы. Эта проблема исправлена в версии 3.6.2.
Показать оригинальное описание (EN)
SiYuan is a personal knowledge management system. Prior to version 3.6.2, an attacker who can place a malicious URL in an Attribute View mAsse field can trigger stored XSS when a victim opens the Gallery or Kanban view with “Cover From -> Asset Field” enabled. The vulnerable code accepts arbitrary http(s) URLs without extensions as images, stores the attacker-controlled string in coverURL, and injects it directly into an <img src="..."> attribute without escaping. In the Electron desktop client, the injected JavaScript executes with nodeIntegration enabled and contextIsolation disabled, so the XSS reaches arbitrary OS command execution under the victim’s account. This issue has been patched in version 3.6.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
B3log Siyuan
cpe:2.3:a:b3log:siyuan:*:*:*:*:*:*:*:*
|
— |
3.6.2
|