关联漏洞
标题:SiYuan 跨站脚本漏洞 (CVE-2026-29183)Description:SiYuan是SiYuan开源的一个隐私至上的个人知识管理系统。 SiYuan 3.5.9之前版本存在跨站脚本漏洞,该漏洞源于动态图标API端点未对攻击者控制的内容进行转义,可能导致反射型跨站脚本攻击,进而执行经过身份验证的API操作并泄露敏感数据。
Description
Unauthenticated reflected cross-site scripting (XSS) vulnerability in all versions of SiYuan Note containing `/api/icon/getDynamicIcon` with unsafe `type=8` rendering logic. Attacker-controlled `content` is inserted directly into SVG output without proper sanitization. An attacker can execute arbitrary JavaScript in users' browsers when they visit a crafted malicious link.
文件快照
id: CVE-2026-29183
info:
name: SiYuan Note - Cross-Site Scripting
author: ritikchaddha
severi
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。