漏洞概述 在SiYuan v3.6.5及更早版本中,存在一个存储型跨站脚本(XSS)漏洞,该漏洞位于Attribute View(数据库)资产单元格渲染器中。此漏洞可升级为远程代码执行(RCE),在Electron桌面客户端中执行。这是一个CVE-2026-44588的邻居漏洞,修复CVE-2026-44588时使用了 (双重转义 ),但AV资产渲染器仍使用较弱的 (仅转义引号)或未转义。 影响范围 受影响版本:getAttribute->innerHTML往返中生存),但AV资产渲染器仍使用较弱的 或未转义。这是SiYuan中不完整修复模式的一部分(参见CVE-2026-33066,CVE-2026-29183)。长期修复应设置Electron 和 。 请求 请确认此报告,并在验证后,点击“请求CVE ID”以通过GitHub的CNAL分配CVE标识符。我愿意协助验证或测试。请作为报告者署名(GitHub: Yunkaiws)。