【低危漏洞】CVE-2026-23847:SiYuan 反射型 XSS 漏洞分析
漏洞概述
SiYuan 是一款个人知识管理系统。在 3.5.4 版本之前,其 /api/icon/getDynamicIcon 接口存在反射型跨站脚本(XSS)漏洞。该接口用于生成文本图标(type=8)的 SVG 图像,但未对 content 查询参数进行 XML 转义,直接将其插入到 SVG 的 <text> 标签中。由于响应的 Content-Type 为 image/svg+xml,攻击者可通过注入恶意标签破坏 XML 结构,从而在用户浏览器中执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2026-23847
- 漏洞类型:反射型跨站脚本(XSS)(CWE-79)
- CVSS 评分:2.1(LOW)
- 影响版本:SiYuan 3.5.4 之前的所有版本
影响范围
所有使用 SiYuan 且版本低于 3.5.4 的用户均受此漏洞影响。该漏洞存在于 /api/icon/getDynamicIcon 接口,当用户访问包含恶意构造的 content 参数的链接时可能触发 XSS。
风险分析
虽然 CVSS 评分为低,但该漏洞仍可能被用于钓鱼、会话劫持或页面内容篡改等攻击。由于需要用户被动交互(如点击特制链接),攻击成功率依赖于社会工程手段。此外,由于响应类型为 image/svg+xml,部分浏览器可能默认执行内嵌脚本,增加利用可能性。
修复建议
- 升级至 SiYuan 3.5.4 或更高版本,该版本已对 content 参数进行 XML 转义处理。
- 如无法立即升级,建议通过 Web 应用防火墙(WAF)规则临时拦截包含可疑 SVG 脚本的请求。
