CVE-2026-29183 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SiYuan 笔记软件存在 **反射型 XSS** 漏洞。 💥 **后果**：攻击者可通过恶意链接，在受害者浏览器中 **执行任意 JS 代码**，导致敏感数据泄露或非法 API 操作。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：动态图标 API `/api/icon/getDynamicIcon` 未对 `type=8` 时的 `content` 参数进行 **转义/ sanitization**，直接插入 SVG 输出。

📦 **产品**：SiYuan Note (思源笔记)。 📅 **版本**：**3.5.9 之前**的所有版本均受影响。

🕵️ **权限**：利用 **已认证** 的会话上下文。 📊 **数据**：可窃取用户敏感信息，或冒充用户执行 **API 操作**（如修改笔记、导出数据）。

🚪 **门槛**：中等。 ✅ **无需认证**即可发现漏洞（Unauthenticated）。 ⚠️ **需要交互**：受害者必须 **点击** 攻击者构造的恶意链接 (UI:R)。

🧪 **PoC**：有。 🔗 项目discovery nuclei 模板已提供检测脚本。 🌍 **在野利用**：数据未提及，但 PoC 公开意味着利用风险极高。

🔎 **自查特征**：访问 `/api/icon/getDynamicIcon?type=8&content=<script>alert(1)</script>`。 🛠️ **工具**：使用 Nuclei 模板 `CVE-2026-29183.yaml` 进行批量扫描。

🛡️ **官方修复**：已发布安全公告 (GHSA-6865-qjcf-286f)。 ✅ **建议**：立即升级至 **3.5.9 或更高版本**。

🚧 **临时规避**：若无法升级，建议 **禁用动态图标功能** 或配置 WAF 拦截包含 `<svg>` 或 `<script>` 的 `/api/icon/getDynamicIcon` 请求参数。

🔥 **优先级**：高。 💡 **理由**：CVSS 评分高 (C:H, I:H)，无需复杂配置，只需用户点击即可触发，极易造成大规模数据泄露。