Plateforme
go
Composant
github.com/siyuan-note/siyuan/kernel
Corrigé dans
3.6.3
3.6.2
La vulnérabilité CVE-2026-34448 est une faille de type Cross-Site Scripting (XSS) critique découverte dans le noyau de Siyuan, un logiciel de prise de notes. Un attaquant peut exploiter cette faille en insérant une URL malveillante dans un champ mAsse d'une Vue d'Attribut. L'impact est l'exécution potentielle de code JavaScript arbitraire, affectant les versions antérieures à 3.6.2. Une version corrigée (3.6.2) est disponible.
Cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté dans le navigateur d'un utilisateur lorsqu'il ouvre la Galerie ou la Vue Kanban avec l'option « Couverture à partir -> Champ d'Actif » activée. Le code vulnérable accepte des URL http(s) arbitraires sans extensions, les stocke dans coverURL et les injecte directement dans un attribut <img src="..."> sans échappement. Dans le client Electron de bureau, le JavaScript injecté s'exécute avec nodeIntegration activé et contextIsolation désactivé, ce qui permet une exécution de commandes OS arbitraires. Cela représente un risque majeur de compromission du système, permettant potentiellement le vol de données sensibles, l'installation de logiciels malveillants ou le contrôle total de la machine de la victime.
Cette vulnérabilité a été rendue publique le 2026-03-31. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la gravité élevée de la vulnérabilité et la disponibilité d'une version corrigée suggèrent qu'elle pourrait devenir une cible pour les attaquants. La possibilité d'exécution de commandes OS arbitraires dans le client Electron rend cette vulnérabilité particulièrement préoccupante. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité suspecte.
Users of Siyuan who utilize the Gallery or Kanban views with “Cover From -> Asset Field” enabled are at significant risk. This includes users who rely on Siyuan for sensitive note-taking or collaboration, as the vulnerability could lead to data theft or system compromise. Organizations using Siyuan in shared hosting environments are particularly vulnerable, as a compromised account could potentially impact other users on the same server.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1000 -Message contains 'siyuan'"• linux / server:
journalctl -u siyuan | grep -i 'error' -i 'warning'• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • generic web: N/A
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Siyuan Kernel vers la version 3.6.2, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être envisagées. Désactivez l'option « Couverture à partir -> Champ d'Actif » dans la Galerie et la Vue Kanban pour réduire la surface d'attaque. Envisagez l'utilisation d'un pare-feu applicatif web (WAF) pour filtrer les requêtes suspectes contenant des URL malveillantes. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de code JavaScript. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant d'injecter une URL malveillante dans un champ mAsse et en vérifiant qu'elle n'est pas exécutée.
Mettez à jour SiYuan à la version 3.6.2 ou ultérieure. Cela corrige la vulnérabilité XSS stockée qui permet l'exécution de commandes arbitraires dans le client de bureau.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34448 is a critical stored XSS vulnerability in the Siyuan Kernel, allowing attackers to inject malicious URLs into Attribute View fields, potentially leading to OS command execution.
You are affected if you are using Siyuan Kernel versions prior to 3.6.2 and have the “Cover From -> Asset Field” feature enabled in Gallery or Kanban views.
Upgrade to Siyuan version 3.6.2 or later to remediate the vulnerability. Temporarily disabling “Cover From -> Asset Field” can reduce the attack surface.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the official Siyuan release notes and security advisories on the Siyuan GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.