Plattform
go
Komponente
siyuan-note
Behoben in
3.6.5
0.0.0-20260414013942-62eed37a3263
CVE-2026-40922 describes a stored Cross-Site Scripting (XSS) vulnerability within the SiYuan note-taking application. This flaw arises from an incomplete fix regarding the rendering of bazaar (marketplace) README files, allowing attackers to inject malicious scripts. The vulnerability affects versions 3.6.1 through 3.6.4 and can lead to arbitrary code execution within the application's Electron context. A fix has been released in version 3.6.4.
Die CVE-2026-40922-Schwachstelle in SiYuan, insbesondere beim Rendern von Bazaar-README-Dateien, ermöglicht einen gespeicherten Cross-Site Scripting (XSS)-Angriff. Eine unvollständige Korrektur aktivierte den Lute-HTML-Sanitizer, blockierte aber keine <iframe>-Tags mit dem Attribut srcdoc. Dies ermöglicht es einem Angreifer, bösartigen JavaScript-Code innerhalb des srcdoc-Attributs eines <iframe>-Tags einzuschleusen. Dieser Code wird im Kontext der SiYuan-Electron-Anwendung ausgeführt, was potenziell zum Diebstahl sensibler Informationen, zur Manipulation der Benutzeroberfläche oder sogar zur vollständigen Kontrolle der Anwendung führen kann. Die Schwere dieser Schwachstelle liegt in der Möglichkeit, die Sicherheit des Benutzers und die Integrität der Daten innerhalb von SiYuan zu gefährden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige README-Datei in ein Bazaar-Repository einfügt. Wenn ein Benutzer dieses Repository in SiYuan importiert, wird die README-Datei gerendert und der bösartige JavaScript-Code, der sich im srcdoc-Attribut des <iframe>-Tags befindet, ausgeführt. Die Skriptausführung erfolgt im Kontext der Electron-Anwendung, wodurch der Angreifer Zugriff auf die Funktionen und Daten von SiYuan erhält. Die Komplexität der Ausnutzung ist relativ gering, da lediglich die Erstellung einer bösartigen README-Datei und die Veranlassung eines Benutzers zum Import erforderlich sind.
Users of SiYuan who rely on bazaar packages for extensions or themes are at particular risk. This includes users who frequently install packages from untrusted sources or those who share their SiYuan data with others. Legacy configurations or deployments with outdated security practices are also more vulnerable.
• linux / server: Monitor SiYuan's log files for unusual activity related to bazaar package rendering. Look for patterns indicative of HTML injection attempts.
grep -i "<iframe>" /path/to/siyuan/logs/readme.log• generic web: Inspect network traffic for requests to SiYuan's bazaar endpoints with suspicious parameters or payloads.
curl -v <siyuan_url>/api/bazaar/packages | grep <iframe>disclosure
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
Die primäre Gegenmaßnahme für CVE-2026-40922 ist die Aktualisierung auf SiYuan-Version 3.6.4 oder höher. Diese Version enthält die vollständige Korrektur, die <iframe>-Tags und ihre srcdoc-Attribute blockiert und so die Ausführung bösartiger Skripte verhindert. Während Sie auf die Aktualisierung warten, vermeiden Sie das Importieren von Bazaar-README-Dateien aus nicht vertrauenswürdigen Quellen. Überprüfen und bereinigen Sie außerdem alle zuvor importierten README-Dateien, die möglicherweise bösartigen Code enthalten. Die Überwachung auf ungewöhnliche Aktivitäten innerhalb der SiYuan-Anwendung kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad. Esta versión corrige la sanitización incompleta de las etiquetas iframe en el README de los paquetes de bazaar, previniendo la ejecución de código malicioso en el contexto de la aplicación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SiYuan ist eine Open-Source-Notiz-Anwendung mit Wissensmanagement-Funktionen.
Dieses Update behebt eine Sicherheitslücke, die es Angreifern ermöglichen könnte, bösartigen Code auf Ihrem Gerät auszuführen.
Wenn Sie eine Version von SiYuan vor 3.6.4 verwenden, sind Sie wahrscheinlich betroffen.
Aktualisieren Sie sofort auf die neueste Version von SiYuan und scannen Sie Ihr System auf Anzeichen einer Kompromittierung.
Vermeiden Sie das Importieren von Bazaar-README-Dateien aus nicht vertrauenswürdigen Quellen, bis Sie auf die neueste Version aktualisieren können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.