Kritische XSS-Lücke in SiYuan Knowledge Management System (CVE-2026-40322)
⚠️ CVE-Referenzen:
CVE-2026-40322
Zusammenfassung
Das quelloffene SiYuan Knowledge Management System weist in Versionen 3.6.3 und älter eine kritische Sicherheitslücke auf, die Angreifern das Einschleusen von bösartigem JavaScript ermöglicht. Das Problem liegt in der fehlerhaften Darstellung von Mermaid-Diagrammen, bei denen Skript-URLs in den Ausgabetext gelangen können. In Electron-Umgebungen kann das sogar zu willkürlicher Codeausführung führen. Admins sollten dringend auf Version 3.6.4 aktualisieren, in der der Fehler behoben wurde.
Siyuan-note - Siyuan - CRITICAL - CVE-2026-40322.
The SiYuan Knowledge Management System, an open-source solution, has a vulnerability in versions 3.6.3 and below that can lead to stored Cross-Site Scripting (XSS). This issue arises from the improper rendering of Mermaid diagrams, where security level settings allow attacker-controlled JavaScript URLs to be included in the output. In environments using Electron, this can escalate to arbitrary code execution if a user interacts with a malicious Mermaid diagram. Users are advised to upgrade to version 3.6.4, where the issue has been addressed.
Quelle: securityvulnerability.io