Plataforma
go
Componente
github.com/siyuan-note/siyuan/kernel
Corregido en
3.6.5
0.0.0-20260407035653-2f416e5253f1
La vulnerabilidad CVE-2026-39846 es una falla de Cross-Site Scripting (XSS) de alta severidad descubierta en el kernel de SiYuan, una aplicación de toma de notas. Esta falla permite a un atacante ejecutar código remotamente a través de una nota maliciosa sincronizada con otro usuario. La vulnerabilidad afecta a versiones anteriores a 0.0.0-20260407035653-2f416e5253f1 y requiere una actualización inmediata para su mitigación.
El impacto de esta vulnerabilidad es significativo. Un atacante puede crear una nota maliciosa y, si esta nota se sincroniza con el espacio de trabajo de otra persona, el atacante puede ejecutar código arbitrario en la máquina de la víctima. Esto se debe a que el kernel de SiYuan permite nodeIntegration y no utiliza contextIsolation, lo que permite que el código JavaScript controlado por el atacante acceda a las APIs de Node.js. La ejecución de código arbitrario puede resultar en el robo de datos confidenciales, la instalación de malware o el control total del sistema de la víctima. Este escenario es similar a otras vulnerabilidades XSS que han permitido el acceso no autorizado a sistemas y datos sensibles.
La vulnerabilidad CVE-2026-39846 fue publicada el 8 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado campañas de explotación activas, pero la disponibilidad de la vulnerabilidad y su potencial de impacto la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca las fuentes de información de seguridad para detectar cualquier actividad sospechosa.
Users of SiYuan who utilize note syncing are particularly at risk. This includes teams collaborating on shared workspaces and individuals who regularly import notes from external sources. Legacy configurations with older versions of SiYuan are also highly vulnerable, as they have not received the security patch. Shared hosting environments where multiple users share the same SiYuan instance are also at increased risk.
• windows / supply-chain:
Get-Process -Name SiYuan | Select-Object -ExpandProperty Path• linux / server:
ps aux | grep siyuan• generic web:
curl -I https://your-siyuan-instance.com/ | grep -i 'X-Content-Type-Options: nosniff'disclosure
patch
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-39846 es actualizar a la versión 0.0.0-20260407035653-2f416e5253f1 o posterior. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior conocida como estable, aunque esto solo proporciona una protección temporal. Además, revise cuidadosamente todas las notas importadas o sincronizadas, especialmente aquellas provenientes de fuentes no confiables. Si bien no hay firmas de detección específicas disponibles actualmente, monitorear el tráfico de red en busca de solicitudes inusuales a SiYuan podría ayudar a identificar posibles ataques. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el contenido de las tablas se renderice correctamente sin ejecutar código malicioso.
Actualice a la versión 3.6.4 o posterior para mitigar la vulnerabilidad de ejecución remota de código. Esta versión corrige el problema de escape inseguro en las leyendas de las tablas, evitando la inyección de código malicioso a través de notas sincronizadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39846 is a critical XSS vulnerability in the SiYuan Kernel, allowing malicious notes to trigger remote code execution through unescaped table captions.
You are affected if you are using SiYuan Kernel versions prior to 0.0.0-20260407035653-2f416e5253f1, especially if you utilize note syncing.
Upgrade to version 0.0.0-20260407035653-2f416e5253f1 or later. Temporarily disable note syncing if immediate upgrade is not possible.
While no active exploitation has been confirmed, the critical severity and potential for easy exploitation suggest a high likelihood of future exploitation.
Refer to the official SiYuan security advisory for detailed information and updates: [https://github.com/siyuan-note/siyuan/security/advisories/GHSA-xxxx-xxxx-xxxx]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.