Plataforma
go
Componente
github.com/siyuan-note/siyuan
Corregido en
3.6.2
0.0.1
Se ha descubierto una vulnerabilidad de inyección SVG en Siyuan Note, una aplicación de toma de notas. Esta falla permite a un atacante inyectar código SVG malicioso que puede ejecutar JavaScript en el contexto del usuario. La vulnerabilidad afecta a versiones de Siyuan Note anteriores o iguales a 0.0.0-20260313024916-fd6526133bb3. La actualización a la versión 3.6.1 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad enviando una solicitud especialmente diseñada a la API /api/icon/getDynamicIcon con un parámetro content que contiene código SVG malicioso utilizando el esquema data:text/xml. Dado que esta API no requiere autenticación, cualquier usuario puede ser víctima. El código JavaScript inyectado se ejecutará en el navegador del usuario, lo que podría permitir al atacante robar credenciales, modificar datos o incluso tomar el control completo de la aplicación. Esta vulnerabilidad es similar a otras vulnerabilidades de inyección SVG que han permitido la ejecución remota de código en el pasado, y su gravedad se ve agravada por la falta de autenticación en el punto final vulnerable.
Esta vulnerabilidad fue publicada el 17 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad y su facilidad de explotación sugieren que podría ser explotada en el futuro. La falta de autenticación en el punto final vulnerable aumenta la probabilidad de explotación.
Users of Siyuan Note who rely on the application to store sensitive knowledge and information are at significant risk. This includes individuals, teams, and organizations using Siyuan Note for note-taking, project management, or research purposes. Shared hosting environments where multiple users share the same Siyuan Note instance are particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire instance.
• linux / server:
journalctl -u siyuan-note -g "data:text/xml"• generic web:
curl -I 'http://<siyuan_server>/api/icon/getDynamicIcon?content=data:text/xml...' | grep Content-Type• generic web:
curl 'http://<siyuan_server>/api/icon/getDynamicIcon?content=data:text/xml...' > /dev/null 2>&1 && echo "Vulnerability potentially present"discovery
disclosure
patch
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La solución recomendada es actualizar Siyuan Note a la versión 3.6.1 o posterior, que corrige la vulnerabilidad. Si la actualización no es posible de inmediato, se pueden aplicar algunas mitigaciones temporales. Una posible mitigación es restringir el acceso a la API /api/icon/getDynamicIcon solo a fuentes confiables. Otra opción es implementar un filtro de contenido en el servidor web para bloquear solicitudes que contengan el esquema data:text/xml. Después de la actualización, verifique que la API /api/icon/getDynamicIcon no permita la inclusión de código SVG malicioso mediante la prueba con una carga útil de prueba SVG que contenga código JavaScript.
Actualice SiYuan a la versión 3.6.1 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) al sanear correctamente las entradas SVG y evitar la ejecución de JavaScript no deseado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32940 is a critical vulnerability in Siyuan Note that allows attackers to inject malicious JavaScript code via a bypass in the SanitizeSVG function, affecting versions prior to 3.6.1.
You are affected if you are using Siyuan Note versions prior to 3.6.1. Check your version and upgrade immediately.
Upgrade Siyuan Note to version 3.6.1 or later. As a temporary workaround, implement a WAF rule to block requests containing data:text/xml.
While no active exploitation has been confirmed, the vulnerability is considered high probability and PoCs are likely to emerge, increasing the risk.
Refer to the official Siyuan Note security advisory for details and updates: [https://github.com/siyuan-note/siyuan/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.