Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corregido en
3.5.10
0.0.0-20260304034809-d68bd5a79391
Se ha descubierto una vulnerabilidad de XSS reflejada en el kernel de SiYuan, específicamente en la API de iconos dinámicos (/api/icon/getDynamicIcon). Esta vulnerabilidad, de severidad crítica, permite a un atacante inyectar código JavaScript malicioso a través del parámetro content cuando type=8, sin necesidad de autenticación. Afecta a versiones anteriores a 0.0.0-20260304034809-d68bd5a79391 y puede ser explotada para robar datos sensibles.
La vulnerabilidad XSS reflejada en SiYuan Kernel permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador del usuario. Dado que la API es unauthenticated, un atacante puede crear una URL maliciosa que, al ser visitada por un usuario autenticado en SiYuan, inyecta el código malicioso. Este código puede ser utilizado para robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso realizar acciones en nombre del usuario dentro de SiYuan, como modificar o eliminar notas. La gravedad de esta vulnerabilidad radica en la facilidad de explotación y el potencial de acceso a información confidencial y control sobre la aplicación.
Esta vulnerabilidad fue publicada el 2026-03-04. No se ha reportado su inclusión en el KEV de CISA, ni se conoce su puntuación EPSS. Aunque no se han publicado públicamente pruebas de concepto (PoC) específicas, la naturaleza de la vulnerabilidad XSS la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas SiYuan para detectar signos de actividad maliciosa.
Organizations and individuals using SiYuan Kernel are at risk, particularly those who rely on the application for sensitive data management or collaboration. Users who have not implemented proper input validation and output encoding practices are especially vulnerable. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk, as a single compromised instance could affect all users.
• linux / server: Monitor SiYuan logs for requests to /api/icon/getDynamicIcon with type=8 and suspicious content parameters. Use journalctl -f -u siyuan to monitor logs in real-time.
journalctl -f -u siyuan | grep '/api/icon/getDynamicIcon?type=8'• generic web: Use curl to test the endpoint with a malicious SVG payload and examine the response for signs of code execution.
curl 'http://<siyuan_server>/api/icon/getDynamicIcon?type=8&content=<svg onload=alert("XSS")>' -s• generic web: Check access and error logs for unusual requests to the endpoint. • wordpress / composer / npm: N/A - This vulnerability is specific to the SiYuan Kernel, not a WordPress plugin or Node.js package. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly impact database systems. • windows / supply-chain: N/A - This vulnerability does not directly impact Windows systems or supply chains.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar SiYuan Kernel a la versión 0.0.0-20260304034809-d68bd5a79391 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor, especialmente el parámetro content en la API de iconos dinámicos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique la integridad de la instalación de SiYuan después de la actualización para asegurar que no haya sido comprometida.
Actualice SiYuan a la versión 3.5.9 o superior. Esta versión corrige la vulnerabilidad XSS reflejada en el endpoint `/api/icon/getDynamicIcon` con `type=8`. La actualización evitará la ejecución de JavaScript arbitrario al abrir enlaces maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29183 is a critical XSS vulnerability in SiYuan Kernel's dynamic icon API, allowing unauthenticated attackers to inject malicious code.
You are affected if you are using a version of SiYuan Kernel prior to 0.0.0-20260304034809-d68bd5a79391.
Upgrade SiYuan Kernel to version 0.0.0-20260304034809-d68bd5a79391 or later. Implement input validation and output encoding as a temporary workaround.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation suggests a potential for widespread attacks.
Refer to the official SiYuan project website and security advisories for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.