【中危漏洞】CVE-2026-23852：SiYuan 存储型 XSS 漏洞可导致远程代码执行

漏洞概述

SiYuan 是一款个人知识管理系统。在 3.5.4 版本之前，该系统存在一个存储型跨站脚本（Stored XSS）漏洞。攻击者可通过 /api/attr/setBlockAttrs API 向块的 icon 属性注入任意 HTML 属性，并在动态图标功能中以未经过滤的方式渲染，从而触发存储型 XSS。在桌面环境中，该漏洞甚至可能被进一步利用实现远程代码执行（RCE）。此问题绕过了此前针对 issue #15970 的修复措施，官方已在 3.5.4 版本中提供完整修复。

漏洞详情

• CVE 编号：CVE-2026-23852
• 漏洞类型：存储型跨站脚本（Stored XSS），CWE-94（代码生成控制不当）
• CVSS 评分：5.8（中危），CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H/E:P
• 影响版本：SiYuan 3.5.4 之前的所有版本

影响范围

所有使用 SiYuan 3.5.4 之前版本的用户均受影响，尤其是启用了协作或内容共享功能的桌面端用户。由于漏洞存在于 API 接口和前端渲染逻辑中，任何能向目标笔记块写入内容的攻击者（如通过共享文档、协作者权限等）都可能利用此漏洞。

风险分析

该漏洞的核心风险在于攻击者可注入恶意 HTML 属性并在用户浏览笔记时自动执行 JavaScript 代码。在桌面应用环境下，由于 Electron 等框架的特性，XSS 可能被提升为远程代码执行（RCE），从而完全控制用户设备。尽管需要用户被动交互（如打开特定笔记），但一旦触发，后果严重。此外，该漏洞绕过了此前的安全修复，表明输入过滤机制存在缺陷。

修复建议

• 立即升级至 SiYuan 3.5.4 或更高版本，该版本已包含针对此漏洞的完整修复。
• 若暂时无法升级，建议限制协作者权限，避免不可信用户编辑包含动态图标的块内容；同时禁用不必要的插件或 API 访问。

参考链接

• GitHub 安全公告 GHSA-7c6g-g2hx-23vv
• 官方修复提交（Commit 0be7e1d）