SiYuan — это система управления персональными знаниями. До версии 3.6.2 уязвимость позволяла значениям атрибутов созданного блока обходить экранирование атрибутов на стороне сервера, когда объект HTML смешивается с необработанными специальными символами. Злоумышленник может встроить вредоносное значение IAL в документ .sy, упаковать его как .sy.zip и заставить жертву импортировать его с помощью обычного рабочего процесса «Импорт -> SiYuan .sy.zip».
Как только заметка открыта, вредоносный атрибут выходит за пределы исходного HTML-контекста и внедряет обработчик событий, в результате чего сохраняется XSS. В настольном клиенте Electron этот XSS обеспечивает удаленное выполнение кода, поскольку внедренный JavaScript запускается с доступом к API-интерфейсам Node/Electron. Эта проблема исправлена в версии 3.6.2.
Показать оригинальное описание (EN)
SiYuan is a personal knowledge management system. Prior to version 3.6.2, a vulnerability allows crafted block attribute values to bypass server-side attribute escaping when an HTML entity is mixed with raw special characters. An attacker can embed a malicious IAL value inside a .sy document, package it as a .sy.zip, and have the victim import it through the normal Import -> SiYuan .sy.zip workflow. Once the note is opened, the malicious attribute breaks out of its original HTML context and injects an event handler, resulting in stored XSS. In the Electron desktop client, this XSS reaches remote code execution because injected JavaScript runs with access to Node/Electron APIs. This issue has been patched in version 3.6.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
B3log Siyuan
cpe:2.3:a:b3log:siyuan:*:*:*:*:*:*:*:*
|
— |
3.6.2
|