SiYuan — это система управления личными знаниями с открытым исходным кодом. В версиях с 3.6.1 по 3.6.3 предыдущее исправление XSS в базарном рендеринге README (неполное исправление для CVE-2026-33066) включало дезинфицирующее средство Lute HTML, но дезинфицирующее средство не блокирует теги iframe, а его черный список префиксов URL-адресов не эффективно фильтрует атрибуты srcdoc, которые содержат необработанный HTML, а не URL-адреса. Автор вредоносного пакета Bazaar может включить в свой README iframe с атрибутом srcdoc, содержащим встроенные скрипты.
Когда другие пользователи просматривают пакет в пользовательском интерфейсе торговой площадки SiYuan, полезная нагрузка выполняется в контексте Electron с полными привилегиями приложения, что позволяет выполнять произвольный код на компьютере пользователя. Эта проблема исправлена в версии 3.6.4.
Показать оригинальное описание (EN)
SiYuan is an open-source personal knowledge management system. In versions 3.6.1 through 3.6.3, a prior fix for XSS in bazaar README rendering (incomplete fix for CVE-2026-33066) enabled the Lute HTML sanitizer, but the sanitizer does not block iframe tags, and its URL-prefix blocklist does not effectively filter srcdoc attributes which contain raw HTML rather than URLs. A malicious bazaar package author can include an iframe with a srcdoc attribute containing embedded scripts in their README. When other users view the package in SiYuan's marketplace UI, the payload executes in the Electron context with full application privileges, enabling arbitrary code execution on the user's machine. This issue has been fixed in version 3.6.4.
Характеристики атаки
Последствия
Строка CVSS v4.0