SiYuan Bazaar marketplace renders unescaped package `name` and `version` metadata, allowing stored XSS and Electron code execution — CVE-2026-45375
GitHub · GitHub · CVE-2026-45375
ID
CVE-2026-45375
CVE-2026-45375
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
critical
critical
CVSS
9
9
Résumé
### Summary SiYuan's Bazaar (community marketplace) renders the `name` and `version` fields of a package's `plugin.json` (and the equivalent `theme.json` / `template.json` / `widget.json` / `icon.json`) into the Settings → Marketplace UI without HTML escaping. The kernel-side helper `sanitizePackageDisplayStrings` in `kernel/bazaar/package.go` HTML-escapes only `Author`, `DisplayName`, and `Description` — `Name`…
Produit
go: github.com/siyuan-note/siyuan/kernel
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.