关键漏洞信息 漏洞类型: 存储型XSS / RCE 影响版本: <=v3.5.3 修复版本: v3.5.4 CVE ID: CVE-2026-23852 严重性: 高 漏洞描述 摘要 - SiYuan中存在存储型XSS漏洞,允许攻击者通过 API 将任意HTML属性注入块的 属性中。不在适当的上下文中渲染payload后,在动态图标特性中可能导致存储型XSS和潜在的远程代码执行(RCE)。 细节 - 端点接受攻击者控制的数据在 字段 - 静态图标存储在块里并会在按需加载时插入到HTML的属性上下文中。如果未进行适当转码,攻击者可利用故意插入的某些属性执行任意脚本。 - 该问题为之前修复过的原动态图标问题的变体,之前的修复成功限制客户端,但变动API仍然可到达此sink 因此该问题是一个可绕过修复/回归错误。 影响 存储XSS: 任何查看受影响块的用户都会触发攻击者控制的JavaScript 桌面RCE: 在桌面应用中,XSS可被升级为任意命令执行 攻击先决条件: 对API和块属性的写入权限(直接写或者间接调用 函数) 操纵代码样例 影响评估 存储型XSS 可能导致远程代码执行的潜在问题。 需要将其视为#15970的修复绕过问题 并分配新的CVE编号