CVE-2026-56395
🟠 Łataj w tym tygodniu
Wstrzyknięcie złośliwego kodu w SiYuan umożliwia zdalne wykonanie poleceń przez XSS.
CVSS
9.6
EPSS
0.4%
Exploit
none
Vendor
Opis źródłowy (NVD)
SiYuan before v3.6.1 fails to sanitize package metadata and README content in the Bazaar marketplace, allowing malicious package authors to inject arbitrary HTML and JavaScript. Attackers can achieve remote code execution on any user browsing the Bazaar by embedding XSS payloads in package displayName, description, or README fields, exploiting Electron's nodeIntegration setting to execute OS commands.
rce xss
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.4% |
| Opublikowano (NVD) | 2026-06-21 14:16:26 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-22 18:40:05 UTC |
Referencje
- https://github.com/siyuan-note/siyuan/security/advisories/GHSA-v3mg-9v85-fcm7 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/siyuan-remote-code-execution-via-malicious-bazaar-package-metadata-and-readme (disclosure@vulncheck.com)